Android bankacılık Truva Atı SOVA (Rusça “Baykuş”) Eylül 2021’den bu yana aktif olarak geliştiriliyordu. Raporlar, Mart 2022’de SOVA’nın birden fazla sürümünün bulunduğunu ve 2FA müdahalesi, çerez çalma ve enjeksiyonlar dahil bu özelliklerden bazılarının zaten uygulandığını söylüyor. yeni hedefler ve birden fazla Filipin bankası gibi ülkeler için.
Şu anda, SOVA kötü amaçlı yazılımı, güncellenmiş yeteneklerle ve bir fidye yazılımı modülü içeren geliştirme aşamasındaki yeni bir sürümle geri döndü.
“Yeni yetenekler sunan ve bankacılık uygulamaları ve kripto borsaları/cüzdanlar dahil 200’den fazla mobil uygulamayı hedefliyor gibi görünen yeni bir SOVA (v4) sürümünü keşfettik”, Cleafy
Cleafy’deki araştırmacılar, kötü amaçlı yazılımların en çok hedef aldığı ülkenin İspanya olduğunu ve onu Filipinler ve ABD’nin izlediğini belirtiyor.
SOVA’daki (v4) Yeni Neler Var?
SOVA v4 kötü amaçlı yazılımı, Chrome, Amazon, NFT platformu veya diğerleri gibi popüler uygulamaların logosuyla görünen sahte Android uygulamalarının içinde gizlidir.
Ayrıca, yeni sürüm, VNC yeteneği ile ilgili yeni kodlarla güncellenir. Tehdit aktörleri, kurbanlardan daha fazla bilgi almak için virüslü cihazların ekran görüntülerini alabilir. Ayrıca, kötü amaçlı yazılım herhangi bir hassas bilgiyi kaydedebilir ve alabilir. Saldırganın daha faydalı olabilecek diğer sistemlere veya uygulamalara geçmenin yollarını aramasına olanak tanır.
SOVA v4’te çerez çalma mekanizması yeniden düzenlendi ve geliştirildi. Burada tehdit aktörleri, çalmak istedikleri Google hizmetlerinin tam listesini (örn. Gmail, GPay ve Google Password Manager) ve diğer uygulamaların bir listesini belirtir. Ayrıca, çalınan çerezlerin her biri için SOVA, “httpOnly”, son kullanma tarihi vb. gibi ek bilgiler de toplayacaktır.
SOVA v4’teki bir sonraki yeni özellik, kendisini farklı kurbanların eylemlerinden korumayı amaçlayan “korumalar” modülünün yeniden düzenlenmesidir.
Araştırmacılar, SOVA’nın .apk’yi yalnızca kötü amaçlı yazılımın gerçek kötü amaçlı işlevlerini içeren bir .dex dosyasını açmak için kullandığını söylüyor. SOVA v4’te Binance borsasına ve Trust Wallet’a (Binance’in resmi kripto cüzdanı) tamamen yeni bir modül tahsis edildi.
Özellikle tehdit aktörleri, hesabın bakiyesi, uygulama içinde kurban tarafından gerçekleştirilen farklı eylemler ve son olarak kripto cüzdanına erişmek için kullanılan tohum cümlesi (kelimeler topluluğu) gibi bilgileri elde etmeyi amaçlar.
Dosyaları Şifrelemek için Fidye Yazılımı Modülü
Tehdit aktörleri, virüslü cihazların içindeki dosyaları bir AES algoritması ile şifreler ve “.enc” uzantısıyla yeniden adlandırır.
“Fidye yazılımı özelliği, Android bankacılık truva atları ortamında hala yaygın olmadığı için oldukça ilginç. Mobil cihazlar çoğu insan için kişisel ve iş verilerinin merkezi depolaması haline geldiğinden, son yıllarda ortaya çıkan fırsatlardan güçlü bir şekilde yararlanıyor.” açık
SOVA v5’e eklenen en çekici özellik, Eylül 2021 yol haritasında duyurulan fidye yazılımı modülü.
“SOVA v4 ve SOVA v5’in keşfiyle, TA’ların kötü amaçlı yazılımlarını ve C2 panelini sürekli olarak nasıl iyileştirdiğine dair yeni kanıtlar ortaya çıkardık ve yayınlanan yol haritasını onurlandırdık.
Kötü amaçlı yazılım hala geliştirilme aşamasında olmasına rağmen, büyük ölçekte dolandırıcılık faaliyetleri yürütmeye hazır”, Sonuç Cleafy Team.
Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin