SOVA—令人担忧的Android木马??研究人员表示,一种名为SOVA(俄语中“猫头鹰”的意思)的新型Android银行木马正在积极开发中,即使处于起步阶段,它也显得野心勃勃。该恶意软件希望在现有银行覆盖、通知操作和键盘记录服务之上,将分布式拒绝服务(DDoS)、中间人(MiTM)和RANSOMSORT功能纳入其武器库。据ThreatFabric的研究人员称,恶意软件的作者正在继续努力实现这一目标。“该恶意软件仍处于起步阶段(首次出现于8月,现在仅更新到版本2),并且它正在经历测试阶段......为不久的将来做好准备,”他们在周五的分析中表示。令人担忧的未来计划。”他们还指出,该恶意软件的路线图是在地下论坛帖子中列出的,宣传其可用于测试。“SOVA是......从传统桌面恶意软件中汲取灵感。”“包括DDoS,man-in-the-中间件和勒索软件,除了覆盖和键盘记录攻击带来的已经很危险的威胁外,还可能对最终用户造成无法弥补的损害。”分析显示,恶意软件作者的编码和开发选择也导致了SOVA的复杂性。”在开发方面,SOVA也因完全在Kotlin环境中开发而脱颖而出,Kotlin是一种受Android支持的编码语言,被许多人认为是Android开发的未来。迄今为止,Android机器人完全在Kotlin中开发。”同时,SOVA依靠一个名为RetroFit的合法开源项目与命令和控制(C2)服务器进行通信。“Retrofit是Square开发的适用于Android、Java和Kotlin的类型安全REST客户端,”研究人员说。“该库提供了一个强大的框架,用于API的身份验证和交互,以及使用OkHttp请求通过网络发送。”银行木马特征研究人员指出,SOVA首先是银行木马,其作者也在这部分开发上进行了创新。例如,SOVA不会忽略涵盖攻击的更多传统银行业务。覆盖攻击是银行木马使用的一种常见策略,在这种攻击中,恶意软件将用户登录手机银行时看到的屏幕替换为虚假屏幕,从而捕获受害者输入的任何凭据。在SOVA的案例中,它能够模拟的目标包括需要信用卡访问权限才能运行的银行应用程序、加密货币钱包和购物应用程序。研究人员指出:“根据作者的说法,美国和西班牙的不同银行机构已经提供了多种叠加选项,但它们提供了在买家需要时创建更多叠加选项的可能性。”此外,第二个版本包含针对某些俄罗斯银行用户的功能——这引起了其他论坛用户的愤怒。为了更好地从受害者那里收集凭据和其他个人身份信息(PII),SOVA正在利用Android的辅助功能服务——这也是一项遗留功能。研究人员解释说:“当它首次启动时,恶意软件会隐藏其应用程序图标并滥用可访问性服务以获得正常运行所需的所有必要权限。”其中一些权限允许它拦截短信和通知,例如,更好地躲避受害者,并且规避双因素身份验证的能力也在路线图上。根据分析,SOVA已经拥有一个非常罕见的银行木马功能,这在Android恶意软件中非常突出:窃取会话cookie的能力,这允许恶意软件搭载有效登录的银行会话,避免需要银行凭据访问受害者。帐户的状态。研究人员指出:“Cookie是网络功能的重要组成部分,它允许用户在浏览器上保持打开的会话,而无需反复重新输入他们的凭据。”“SOVA将创建一个WebView来打开一个合法的webURL,并在受害者成功登录后窃取cookie……它能够轻松地从Gmail或PayPal等主要网站窃取会话cookie。”在较新版本的SOVA中,网络骗子还添加了创建应用程序列表的选项,以便自动监控cookie。ThreatFabric解释说,版本2提供的另一个功能是剪贴板操作,即更改系统剪贴板中的数据以窃取加密货币的能力。“该机器人设置了一个事件监听器,旨在在剪贴板中保存一些新数据时通知恶意软件,”研究人员说。""如果数据字符串很可能是加密货币钱包地址,SOVA会将其替换为相应加密货币的有效地址。“目前支持的加密货币有币安、比特币、以太坊和TRON。SOVA的作者在路线图上仍然领先,表示他们将很快添加“自动三级堆叠等”。”研究人员指出:“目前尚不清楚这三个阶段的含义,但这可能意味着更多的进步和更现实的过程,可能意味着向设备下载更多的软件。”SOVA:深思熟虑的开发路线图恶意软件的作者清楚研究人员总结说,对SOVA的未来抱有很大的野心,它确实有可能成为对Android生态系统的危险威胁。银行恶意软件。“如果作者坚持路线图,它也将能够拥有……DDoS功能、勒索软件和高级覆盖攻击。这些特性将使SOVA成为市场上功能最丰富的Android恶意软件,并可能成为针对金融机构的Android银行木马的“新常态”。“在某些方面,SOVA可能会追随TrickBot的脚步,TrickBot是一种多平台恶意软件,最初是一种银行木马,后来转向其他类型的网络攻击,并成为全球犯罪分子使用的最流行和无处不在的恶意软件。”最流行的木马之一。它现在专门充当第一阶段感染,提供一系列后续勒索软件和其他恶意软件。有趣的是,TrickBot的作者最近对代码进行了一些更改,这可能表明TrickBot正在重返银行欺诈游戏——特别是添加了浏览器中间人(MitB)功能,用于窃取来自Zeus,一种早期的Zeus银行木马,可能预示着即将发生的欺诈攻击。本文翻译自:https://threatpost。com/sova-sophisticated-android-trojan/169366/转载请注明出处。
