Android bankacılık Truva Atı SOVA geri döndü ve bir fidye yazılımı modülü içeren geliştirme aşamasında olan ek bir sürümle güncellenmiş özelliklere sahip.
Cleafy’deki araştırmacılar, belgelenmiş
SOVA’nın yeniden canlanması, 4. sürümün bankacılık uygulamaları ve kripto borsaları/cüzdanlar dahil olmak üzere 200’den fazla mobil uygulamayı hedeflediğini söylüyor. İspanya, kötü amaçlı yazılımın en çok hedef aldığı ülke gibi görünüyor, onu Filipinler ve ABD izliyor.
SOVA v4 kötü amaçlı yazılımı, Chrome ve Amazon dahil olmak üzere popüler uygulamaların logoları tarafından gizlenen sahte Android uygulamalarının içine gizlenmiştir. En son sürüm, artık hedeflenen Google hizmetlerinin ve diğer uygulamaların bir listesini belirleyebilen, yeniden düzenlenmiş ve geliştirilmiş bir çerez çalma mekanizması içerir. Ayrıca güncelleme, kötü amaçlı yazılımın, kurbanların uygulamayı kaldırma girişimlerini engelleyerek ve saptırarak kendisini korumasına olanak tanır.
Ayrıca SOVA’nın en son sürümlerinde, saldırganlar komut ve kontrol (C2) arabirimi aracılığıyla belirli hedefleri kontrol edebilir. Bu, kötü amaçlı yazılımın çok çeşitli saldırı senaryolarına uyarlanabilirliğini artırır.
Ayrıca, saldırganların ekran görüntülerini almasına ve komutları kaydetmesine ve yürütmesine izin veren yeteneklere sahiptir. Bu, bir saldırganın daha kazançlı olabilecek diğer sistemlere veya uygulamalara yanlamasına geçiş yapmanın yollarını aramasını sağlar.
“En ilginç kısım, [virtual network computing] yeteneği” diye belirtiyor rapor. “Bu özellik, Eylül 2021’den beri SOVA yol haritasında yer alıyor ve bu, [threat actors] kötü amaçlı yazılımı sürekli olarak yeni özellikler ve yeteneklerle güncelliyor.”
Ufukta Fidye Yazılımı
Cleafy ekibi ayrıca, kötü amaçlı yazılımın ek bir sürümünün, sürüm 5’in geliştirilmekte olduğunu ve Eylül 2021 geliştirme yol haritasında daha önce duyurulan bir fidye yazılımı modülünü içereceğini gösteren kanıtlar buldu.
Cleafy araştırmacıları, “Fidye yazılımı özelliği, Android bankacılık truva atı ortamında hala yaygın bir özellik olmadığı için oldukça ilginç” diyor. “Mobil cihazlar çoğu insan için kişisel ve iş verileri için merkezi depolama haline geldiğinden, son yıllarda ortaya çıkan fırsattan güçlü bir şekilde yararlanıyor.”
nVisium’da kıdemli siber güvenlik danışmanı olan Cory Cline, bir bankacılık Truva Atı’na fidye yazılımı yetenekleri eklemenin siber suçlular için pek çok avantaj sağladığını söylüyor.
“Artık finansal bilgilerinize erişmek için kişisel verilerinizi çalmaları gerekmiyor” diye açıklıyor. “Fidye yazılımı yetenekleriyle, saldırganlar artık etkilenen cihazları şifreleyebilir.”
Giderek daha fazla insanın hayatlarının neredeyse her yönünü mobil cihazlarında depolamasıyla, saldırganların geri verilen verilere erişmek için ödeme yapmak isteyen hedefleri daha kolay bulabileceklerini ekliyor.
“SOVA’nın arkasındaki ekip yeni bir gelişmişlik düzeyi sergiledi” diyor. “Özellik seti, Android bankacılık Truva atı sahnesine oldukça benzersiz ve SOVA, mevcut en zengin özelliklere sahip Android bankacılık Truva atlarından biridir.”
Ancak, SOVA’nın arkasındaki ekibin kendi çözümünü yazmak yerine RetroFit for C2’yi uygulamayı seçtiğine dikkat çekiyor.
Cline, “Bu, geliştirme ekibindeki bazı sınırlamalara değinebilir” diyor.
Bankacılık Truva Atları, Ek Yeteneklerden Artış Sağlıyor
Ocak 2021’de ortak uluslararası görev gücü tarafından indirildikten sonra bu yazın başlarında daha gelişmiş bir biçimde yeniden ortaya çıkan Emotet de dahil olmak üzere, diğer bankacılık Truva atları da güvenliği aşmaya yardımcı olacak güncellenmiş özelliklerle yeniden ortaya çıktı.
Delinea’da baş güvenlik bilimcisi ve Danışmanlık CISO’su olan Joseph Carson, mevcut Android bankacılık Truva Atlarını iyileştirmenin ve geliştirmenin birçok avantajı olduğunu söylüyor.
“SOVA v4 ve SOVA v5’teki önemli iyileştirmeler, saldırganların, artık daha fazla ödeme hizmeti ve istismar edilecek uygulama içeren çerez hırsızı gibi mevcut özellikleri kolayca genişletebileceğini gösteriyor” diye belirtiyor. “Kripto cüzdanları hedefleyenler gibi yeni modüller, saldırganların kripto para birimlerini kazançlı bir hedef olarak gördüğünü gösteriyor.”
Fidye yazılımı yeteneklerinin eklenmesinin saldırganlar için kanıtları yok etmek gibi birçok avantajı olabileceğini açıklıyor. Bu, dijital adli tıbbın saldırganın herhangi bir izini veya özniteliğini keşfetmesini zorlaştırır ve saldırgana, kimlik bilgilerini veya çerezleri çalmak başarılı olmadığında ödeme almak için ek bir seçenek sunar.
Carson, “Özellikle finans sektöründe yeni İnternet hizmetleri benimsendikçe, saldırganların daha yeni teknolojilerle uyumlu kalabilmek için diğer yazılım şirketleri gibi bankacılık Truva Atlarını yeni modüllerle güncellemeye devam etmeleri gerekecek” diyor.