SOVA: Ένα νέο Trojan Android Banking αναδύεται με αυξανόμενες δυνατότητες
Ένας συνδυασμός τραπεζικών εφαρμογών, πορτοφολιών κρυπτονομισμάτων και εφαρμογών για αγορές από τις ΗΠΑ και την Ισπανία είναι ο στόχος ενός νεοανακαλυφθέντος trojan Android που θα μπορούσε να επιτρέψει στους εισβολείς να εξαφανίσουν προσωπικά αναγνωρίσιμες πληροφορίες από μολυσμένες συσκευές, συμπεριλαμβανομένων των τραπεζικών διαπιστευτηρίων και να ανοίξουν την πόρτα για τη απάτη on-device.
Με την ονομασία S.O.V.A. (αναφέρεται στη ρωσική λέξη για κουκουβάγια), η τρέχουσα έκδοση του τραπεζικού κακόβουλου λογισμικού έρχεται με μυριάδες δυνατότητες για την κλοπή διαπιστευτηρίων και session cookie μέσω overlay attacks ιστού, καταγραφής πληκτρολογίων, απόκρυψης ειδοποιήσεων και χειραγώγησης του πρόχειρου για εισαγωγή τροποποιημένων διευθύνσεων για ψηφιακά πορτοφόλια κρυπτονομισμάτων, με μελλοντικό σκοπό την εξαπάτηση των χρηστών μέσω κινητών συσκευών με VNC, πραγματοποίηση επιθέσεων DDoS, ανάπτυξη ransomware, ακόμη και υποκλοπή κωδικών ελέγχου ταυτότητας δύο παραγόντων.
Το κακόβουλο λογισμικό ανακαλύφθηκε στις αρχές Αυγούστου 2021 από ερευνητές της εταιρείας κυβερνοασφάλειας ThreatFabric που εδρεύει στο Άμστερνταμ.
Οι επιθέσεις επικάλυψης συνήθως περιλαμβάνουν κλοπή εμπιστευτικών πληροφοριών χρηστών χρησιμοποιώντας κακόβουλο λογισμικό που επικαλύπτει τα δικά του παράθυρα πάνω από άλλο πρόγραμμα. Από την άλλη πλευρά, η συσσώρευση έγκυρων cookie περιόδου σύνδεσης είναι ιδιαίτερα επικίνδυνη καθώς επιτρέπει στους εγκληματίες να συνδεθούν και να αναλάβουν λογαριασμούς από τους χρήστες χωρίς να χρειάζεται να γνωρίζουν τα τραπεζικά διαπιστευτήρια.
Η ThreatFabric σε έκθεση της δήλωσε ότι “Το δεύτερο σύνολο δυνατοτήτων, που προστέθηκαν, είναι πολύ προχωρημένο και θα ωθήσει το SOVA σε μια διαφορετική σφαίρα για κακόβουλο λογισμικό Android, καθιστώντας το πιθανώς ένα από τα πιο προηγμένα bot που κυκλοφορούν, συνδυάζοντας τραπεζικό κακόβουλο λογισμικό με δυνατότητες αυτοματοποίησης και botnet”.
Παρόλο που το κακόβουλο λογισμικό πιστεύεται ότι βρίσκεται στα αρχικά στάδια ανάπτυξης, οι προγραμματιστές του S.O.V.A. διαφημίζουν το προϊόν σε φόρουμ χάκερ, αναζητώντας να στρατολογήσουν testers για να δοκιμάσουν το κακόβουλο λογισμικό σε μεγάλο αριθμό συσκευών και τις δυνατότητες του bot. “Δεν γίνεται αναδιανομή του Cerberus/Anubis, το bot είναι γραμμένο από την αρχή”, έγραφε η ανάρτηση του φόρουμ.
“Το [S.O.V.A.] είναι ακόμα ένα έργο στα σπάργανα και τώρα παρέχει τις ίδιες βασικές δυνατότητες με τα περισσότερα άλλα σύγχρονα κακόβουλα προγράμματα τραπεζικού Android”, ανέφεραν οι ερευνητές. “Ωστόσο, ο δημιουργός πίσω από αυτό το bot έχει σαφώς μεγάλες προσδοκίες για το προϊόν του και αυτό αποδεικνύεται από την αφοσίωση του να δοκιμάσει το S.O.V.A. με τρίτους, καθώς και από τον ρητό χάρτη πορείας του S.O.V.A.”