据信息安全消息,肆虐Android平台的银行木马SOVA卷土重来,新增功能较以往更多,甚至可能进行勒索攻击。8月11日,安全公司Cleafy对SOVA木马进行了详细调查,并以报告的形式分享了调查结果。报道指出,2021年9月,SOVA的开发者在暗网上公布了未来更新的路线图,并声称要进入市场时,安全人员首先发现了SOVA。在接下来的几个月里,Cleafy还发现了SOVA的各种迭代,实现了更新路线图中提到的一些功能。其中包括双因素身份验证(2FA)拦截、cookie盗窃以及针对新目标和国家(例如多家菲律宾银行)的注入。根据该报告,SOVA将分布式拒绝服务(DDoS)、中间人(MiTM)和RANSOMSORT功能纳入其武器库——在现有的银行覆盖、通知操作和键盘记录服务之上。SOVA可以模仿的其他目标包括银行应用程序、加密货币钱包和需要信用卡访问权限才能运行的购物应用程序。2022年7月,Cleafy发现了SOVA(V4)版本,并在其最新公告中对其进行了详细说明。目标应用程序的数量也从2021年的90个增加到200个,包括银行应用程序和加密货币。交易所/钱包。“SOVA最有趣的部分与虚拟网络计算功能有关,该功能自2021年9月以来一直在SOVA路线图中,这是攻击者不断用新功能更新恶意软件的有力证据,”Cleafy在报告中说.”此外,最新版本的SOVA可以截取屏幕截图、记录和执行手势,以及管理来自受感染设备的多个命令。在SOVAV4中,进一步重构和改进了cookie窃取机制,以指定目标Google服务的完整列表以及其他应用程序的列表。更新后的恶意软件可以通过阻止这些卸载应用程序的尝试来保护自己。值得注意的是,Cleafy声称发现了新版本的SOVA(V5),它重构了代码,添加了一些新功能,并对与命令/控制(C2)服务器的通信进行了一些小改动。虽然SOVAV5缺少VNC模块,但它具有勒索软件功能,这在移动设备上很少见。
