据infosecurity消息,肆虐Android平台的银行木马 SOVA 卷土重来,和之前相比增加了更多的新功能,甚至还有可能进行勒索攻击。8月11日,安全公司 Cleafy 对SOVA木马进行细致调查,并以报告的形式分享了调查结果。
报告指出,2021年9月,SOVA首次被安全人员发现,当时其开发人员在暗网上发布了未来更新的路线图,并声称正在进入市场。在接下来的几个月里,Cleafy 公司还发现了SOVA的各种迭代版本,实现了更新路线图中提到的某些功能。其中包括双因素身份验证 (2FA) 拦截、cookie 窃取和针对新目标和国家(例如多家菲律宾银行)的注入。
根据报告,SOVA将分布式拒绝服务(DDoS)、中间人(MiTM)和 RANSOMSORT 功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。SOVA还可以模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。
2022年7月,Cleafy公司发现了SOVA (V4)版本,并在其最新的公告中进行详细说明,针对的目标应用APP也从2021年的90个增加至200个,包括银行应用程序和加密货币交易所/钱包。
Cleafy 公司在报告中表示,“SOVA最有趣的部分与虚拟网络计算功能有关,自 2021 年 9 月以来,此功能一直在 SOVA 路线图中,这是攻击者不断更新恶意软件新功能的一个有力证据。”
此外,SOVA的最新版本还可以从受感染的设备中获取屏幕截图、记录和执行手势以及管理多个命令。在 SOVA V4版本,cookie 窃取机制被进一步重构和改进,以指定目标 Google 服务的综合列表以及其他应用程序列表。而更新后的恶意软件可以通过拦截那些卸载应用程序的操作来保护自己。
值得注意的是,Cleafy声称发现了 SOVA 的新版本(V5),对于代码进行了重构,添加了一些新功能,与命令/控制 (C2) 服务器之间通信的一些小变化。虽然SOVA V5 缺少 VNC 模块,但它具有勒索软件功能,这在移动端中较为罕见。