Банковият троян SOVA Android продължава да се развива с нови функции, подобрения на кода и добавяне на нова функция за рансъмуер, която криптира файлове на мобилни устройства.
С последното издание злонамереният софтуер SOVA вече е насочен към над 200 приложения за банкиране, обмен на криптовалута и цифрови портфейли, като се опитва да открадне чувствителни потребителски данни и бисквитки от тях.
Освен това той разполага с преработен и подобрен код, който му помага да работи по-невидимо на компрометираното устройство, докато най-новата му версия, 5.0, добавя модул за рансъмуер.
Анализатори на заплахи от фирмата за мобилна сигурност Cleafy проследиха еволюцията на SOVA от обявяването на проекта през септември 2021г. и съобщават, че развитието му бързо се е увеличило през 2022г.
През март 2022г. SOVA пусна версия 3, добавяйки 2FA прихващане, кражба на бисквитки и нови инжекции за множество банки по света. Инжекциите са наслагвания, показани върху легитимни подкани за влизане, които се използват за кражба на идентификационни данни, като тези за онлайн банкови приложения.
През юли 2022г. екипът за разработка на SOVA пусна версия 4, която увеличи целевите приложения до 200 и добави възможности за VNC (виртуална мрежова обработка) за измами на устройството.
Зловреден софтуер изпраща списък с инсталирани приложения до C2 и получава XML, съдържащ списък с адреси, които сочат към правилните наслагвания, които да бъдат заредени, когато жертвата отвори целево приложение.
Четвъртата основна версия също така добави поддръжка за команди като правене на екранни снимки, извършване на кликвания и плъзгания, копиране и поставяне на файлове и обслужване на екрани с наслагване по желание.
В тази версия също беше направен значителен рефакторинг на кода в механизма за кражба на бисквитки, който сега е насочен към Gmail, GPay и Google Password Manager.
SOVA v4 добави някои защити срещу защитни действия, злоупотребявайки с разрешенията за достъпност, за да върне потребителя обратно към началния екран, ако се опита да деинсталира приложението ръчно.
И накрая, четвъртата версия се фокусира върху Binance и приложението „Trust Wallet“ на платформата, използвайки специален модул, създаден, за да открадне тайната начална фраза на потребителя.
Съвсем наскоро Cleafy изпробва ранна версия на SOVA v5, която идва с многобройни подобрения на кода и добавяне на нови функции като модул за рансъмуер.
Модулът използва AES криптиране, за да заключи всички файлове в заразените устройства и да добави разширението „.enc“ към преименуваните, криптирани файлове.
„Функцията за рансъмуер е доста интересна, тъй като все още не е често срещана в пейзажа на банковите троянски коне на Android. Тя силно се възползва от възможността, която възниква през последните години, тъй като мобилните устройства се превърнаха за повечето хора в централно хранилище за лични и бизнес данни.“ – пишат изследователите.
Петата версия обаче все още не е широко разпространена и нейният VNC модул липсва в ранните проби, така че е вероятно тази версия все още да е в процес на разработка.
Дори в настоящата си, незавършена форма, SOVA v5 е готова за масово внедряване, според Cleafy, така че се препоръчва бдителност на всички потребители на Android.
И накрая, авторът на злонамерения софтуер изглежда решен и способен да изпълни своите обещания от септември 2021г., като се придържа към графика за разработка и добавя разширени функции на всеки няколко месеца.
Това превръща SOVA в заплаха с нарастваща интензивност, тъй като банковият троянски кон сега се определя като един от пионерите във все още недостатъчно проученото пространство на мобилния ransomware.
Източник: Cleafy
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.