Theo Cleafy, vào tháng 9 năm 2021, SOVA, một Trojan Ngân hàng Android mới, đã được công bố trong một diễn đàn ngầm.
Cho đến tháng 3 năm 2022, nhiều phiên bản SOVA đã được tìm thấy và một số tính năng này đã được triển khai, chẳng hạn như phá vỡ 2FA, đánh cắp cookie.
Giờ đây, các nhà nghiên cứu tại Cleafy đã phát hiện ra một phiên bản SOVA mới nhắm mục tiêu hơn 200 ứng dụng di động, bao gồm các ứng dụng ngân hàng và các sàn / ví điện tử.
Các tác nhân đe dọa có thể lấy ảnh chụp màn hình của các thiết bị bị nhiễm để lấy thêm thông tin từ nạn nhân, đồng thời ghi lại và lấy bất kỳ thông tin nhạy cảm nào. Các tính năng này, kết hợp với các dịch vụ Trợ năng, cho phép các tác nhân đe dọa thực hiện hoạt động gian lận từ thiết bị bị nhiễm.
Trong quá trình nghiên cứu SOVA v4, các nhà nghiên cứu của Cleafy cũng nhận thấy nhiều mẫu có thể thuộc về một biến thể khác của SOVA (v5), với các tính năng mới và một số thay đổi nhỏ trong giao tiếp giữa phần mềm độc hại và máy chủ C&C. Biến thể mới dường như đang được phát triển, vì Cleafy đã tìm thấy nhiều bản ghi được sử dụng để gỡ lỗi. Mặc dù có một số thay đổi trong v5, nhưng tính năng thú vị nhất được bổ sung trong SOVA v5 là mô-đun ransomware đã được công bố trong lộ trình vào tháng 9 năm 2021.
Theo Joseph Carson, Giám đốc Khoa học Bảo mật và Cố vấn An ninh Thông tin (CISO) tại Delinea, những cải tiến đáng kể đối với SOVA v4 cho thấy kẻ tấn công có thể chỉ cần mở rộng các tính năng hiện có như đánh cắp cookie, hiện gồm nhiều dịch vụ thanh toán để khai thác hơn.
“Việc thêm các khả năng của ransomware có thể mang lại nhiều lợi ích cho kẻ tấn công, chẳng hạn như phá hủy bằng chứng, vì vậy sẽ khiến cho công tác điều tra số trở nên khó khăn hơn trong việc phát hiện dấu vết của hacker”, Carson giải thích.
Ngoài ra, việc bổ sung các khả năng cho phép kẻ tấn công lấy ảnh chụp màn hình, ghi lại và thực hiện các lệnh cho phép kẻ tấn công leo thang đặc quyền sang các hệ thống hoặc ứng dụng khác có thể sinh lợi hơn hệ thống bị xâm nhập hiện tại, Carson nói.
“Khi các dịch vụ internet mới đặc biệt trong ngành tài chính được áp dụng, những kẻ tấn công sẽ cần phải tiếp tục cập nhật trojan ngân hàng với các mô-đun mới giống như bất kỳ công ty phần mềm nào khác để tương thích với các công nghệ mới hơn.”
Xem báo cáo đầy đủ tại: https://www.cleafy.com/cleafy-labs/sova-malware-is-back-and-is-evolving-rapidly
Nguồn:https://www.securitymagazine.com
