SOVA ——令人担忧的 Android 特洛伊木马

研究人员表示,一种名为 SOVA的新型 Android 银行木马正在积极开发中,即使在起步阶段,它也表现的野心勃勃。该恶意软件希望将分布式拒绝服务、中间人和 RANSOMSORT 功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。

据 ThreatFabric 的研究人员称,该恶意软件的作者正在为这个目标持续努力。

他们在周五的一份分析报告中表示:" 这种恶意软件仍处于起步阶段,并且它正在经历一个测试阶段……正在为不久的将来制定令人担忧的计划。" 他们还指出,该恶意软件的路线图在地下论坛帖子中列出,宣传其可用于测试。

"SOVA 正在……从传统的桌面恶意软件中汲取灵感。"" 包括 ddos、中间人和勒索软件在内,除了覆盖和键盘记录攻击所带来的已经非常危险的威胁之外,还可能对最终用户造成难以挽回的损害。"

分析显示,恶意软件作者的编码和开发选择也说明了 SOVA 的复杂性。

ThreatFabric 表示:" 在开发方面,SOVA 还因完全在 Kotlin 环境中开发而脱颖而出,Kotlin 是 Android 支持的一种编码语言,被许多人认为是 Android 开发的未来。"" 如果作者对未来功能的承诺得到遵守,SOVA 可能成为迄今为止在 Kotlin 中完全开发的最完整和最先进的 Android 机器人。"

与此同时,SOVA 依赖于称为 RetroFit 的合法开源项目与命令和控制服务器进行通信。

研究人员说:"Retrofit 是 Square 开发的适用于 Android、Java 和 Kotlin 的类型安全 REST 客户端。"" 该库提供了一个强大的框架,用于对 API 进行身份验证和交互,以及使用 OkHttp 发送网络请求。"

银行木马特点

研究人员指出,SOVA 首先是一种银行木马,其作者也在将创新应用于其开发的这一部分。例如,SOVA 并没有忽略覆盖攻击的更传统的银行业务。

Overlay 攻击是银行木马使用的一种常见策略,其中恶意软件将用户登录手机银行时看到的屏幕替换为仿制的屏幕——从而获取受害者输入的任何凭据。

在 SOVA 的案例中,它能够模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。

研究人员指出:" 根据作者的说法,美国和西班牙的不同银行机构已经有多种叠加可供选择,但它们提供了在买方有需要的情况下创造更多叠加的可能性。" 此外,第二版包含针对某些俄罗斯银行用户的功能——这引起了其他论坛用户的愤怒。

为了更好地收集受害者的凭据和其他个人身份信息,SOVA 正在利用 Android 的无障碍服务——这也是一项传统功能。

研究人员解释说:" 当它第一次启动时,恶意软件会隐藏其应用程序图标并滥用无障碍服务以获得所有必要的权限以正常运行。" 其中一些权限允许它拦截 SMS 消息和通知,例如,更好地躲避受害者,并且在路线图上还有规避双因素身份验证的能力。

根据分析,SOVA 已经拥有一项非常罕见的银行木马功能,这在 Android 恶意软件中非常突出:窃取会话 cookie 的能力,这允许恶意软件搭载有效登录的银行会话,从而避免了需要银行凭据才能访问受害者账户的情况。

研究人员指出:"Cookie 是网络功能的重要组成部分,它允许用户在浏览器上保持打开的会话,而无需反复重新输入其凭据。""SOVA 将创建一个 WebView 来为目标应用程序打开一个合法的 Web URL,并在受害者成功登录后窃取 cookie ……它能够轻松地从 Gmail 或 PayPal 等主要网站窃取会话 cookie。"

在较新版本的 SOVA 中,网络骗子还添加了创建应用程序列表的选项,以便自动监控 cookie。

ThreatFabric 解释说,第 2 版提供的另一个功能是剪贴板操作,即更改系统剪贴板中的数据以窃取加密货币的能力。

研究人员说:" 机器人设置了一个事件侦听器,旨在在剪贴板中保存一些新数据时通知恶意软件。"" 如果数据串可能是加密货币钱包地址,SOVA 会用相应加密货币的有效地址替换它。"

目前支持的加密货币是 Binance、比特币、以太坊和 TRON。

SOVA 的作者在路线图上仍处于领先地位,他们表示他们将很快添加 " 自动三阶段叠加诸如 "。

研究人员指出:" 尚不清楚这三个阶段意味着什么,但它可能意味着更多的进步和更现实的过程,可能意味着向设备下载更多的软件。"

SOVA:深思熟虑的发展路线图

研究人员总结说,恶意软件的作者显然对 SOVA 的未来抱有很大的野心,它确实有可能成为 Android 生态系统的危险威胁。

" 在未来的开发中添加的第二组功能非常先进,并将推动 SOVA 进入 Android 银行恶意软件的不同领域。"" 如果作者坚持路线图,它还将能够具有…… DDoS 功能、勒索软件和高级覆盖攻击。这些功能将使 SOVA 成为市场上功能最丰富的 Android 恶意软件,并可能成为针对金融机构的 Android 银行木马的‘新规范’。"

在某些方面,SOVA 可能会步 TrickBot 的后尘,TrickBot 是一种多平台恶意软件,最初是一种银行木马,然后转向其他类型的网络攻击,并成为全球不法分子使用的最流行和最普遍的木马之一。它现在专门充当第一阶段感染,提供一系列后续勒索软件和其他恶意软件。

有趣的是,TrickBot 的作者最近对代码进行了一些更改,这可能表明 TrickBot 正在重返银行欺诈游戏——特别是添加了一种浏览器人功能,用于窃取源自 Zeus 的在线银行凭证,早期的 Zeus 银行木马可能预示着欺诈攻击即将到来。

版权声明:
作者:路小白
链接:https://www.yxey.cn/yenei/411515.html
来源:营销二院路小白个人品牌自媒体平台博客
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>