SOVA Android Bankacılık Kötü Amaçlı Yazılımı, Dosyaları Şifrelemek İçin Fidye Yazılımı Özelliği Ekliyor

Android bankacılık Truva atı SOVA ("Rusça'da Owl") Eylül 2021'den beri aktif olarak geliştiriliyordu. Raporlar, SOVA'nın birden fazla versiyonunun Mart 2022'de bulunduğunu ve 2FA müdahalesi, çerez çalma ve yeni hedefler ve birden fazla Filipin bankası gibi ülkeler için enjeksiyonlar içeren bu özelliklerden bazılarının zaten uygulandığını söylüyor.

Şu anda, SOVA kötü amaçlı yazılımı güncellenmiş yeteneklerle ve bir fidye yazılımı modülü içeren geliştirme aşamasında olan yeni bir sürümle geri döndü.

"Yeni yetenekler sunan ve bankacılık uygulamaları ve kripto borsaları/cüzdanları da dahil olmak üzere 200'den fazla mobil uygulamayı hedef alan SOVA'nın (v4) yeni bir sürümünü keşfettik", Cleafy

Cleafy'deki araştırmacılar, İspanya'nın kötü amaçlı yazılımlar tarafından en çok hedeflenen ülke olarak göründüğünü ve ardından Filipinler ve ABD'nin geldiğini belirtiyor.

SOVA'daki (v4) Yenilikler Nelerdir?

SOVA v4 kötü amaçlı yazılımı, Chrome, Amazon, NFT platformu veya diğerleri gibi popüler uygulamaların logosuyla görünen sahte Android uygulamalarında gizlidir.

Ayrıca, yeni sürüm VNC yeteneği ile ilgili yeni kodlarla güncellenmiştir. Tehdit aktörleri, kurbanlardan daha fazla bilgi almak için virüslü cihazların ekran görüntülerini alabilir. Ayrıca, kötü amaçlı yazılım herhangi bir hassas bilgiyi kaydedebilir ve elde edebilir. Bir saldırganın daha yararlı olabilecek diğer sistemlere veya uygulamalara geçmenin yollarını aramasına olanak tanır.

SOVA v4'te, çerez çalma mekanizması yeniden düzenlendi ve geliştirildi. Burada, tehdit aktörleri çalmak istedikleri Google hizmetlerinin tam bir listesini (ör. Gmail, GPay ve Google Password Manager) ve diğer uygulamaların bir listesini belirtir. Ayrıca çalınan çerezlerin her biri için SOVA, "httpOnly", expiration date vb. gibi ek bilgiler de toplayacaktır.

SOVA v4'teki bir sonraki yeni özellik, kendisini farklı kurbanların eylemlerinden korumayı amaçlayan "protections" modülünün yeniden düzenlenmesidir.

Araştırmacılar, SOVA'nın .apk yalnızca kötü amaçlı yazılımın gerçek kötü amaçlı işlevlerini içeren bir .dex dosyasını açmak için kullandığını söylüyor. SOVA v4'te, Binance borsasına ve Trust Wallet'a (Binance'in resmi kripto cüzdanı) tamamen yeni bir modül tahsis edildi.

Özellikle, tehdit aktörleri, hesabın bakiyesi, kurbanın uygulama içinde gerçekleştirdiği farklı eylemler ve son olarak, kripto cüzdanına erişmek için kullanılan tohum ifadesi (bir kelime koleksiyonu) gibi bilgileri almayı amaçlamaktadır.

Dosyaları Şifrelemek İçin Fidye Yazılımı Modülü

Tehdit aktörleri, virüslü cihazların içindeki dosyaları bir AES algoritması aracılığıyla şifreler ve bunları ".enc" uzantısıyla yeniden adlandırır.

"Fidye yazılımı özelliği, Android bankacılık truva atları ortamında hala yaygın olmadığı için oldukça ilginç. Mobil cihazlar çoğu insan için kişisel ve ticari veriler için merkezi depolama alanı haline geldiğinden, son yıllarda ortaya çıkan fırsattan güçlü bir şekilde yararlanıyor." Cleafy

SOVA v5'e eklenen en çekici özellik, Eylül 2021'in yol haritasında duyurulan fidye yazılımı modülüdür.

"SOVA v4 ve SOVA v5'in keşfiyle, TA'ların kötü amaçlı yazılımlarını ve C2 panelini sürekli olarak nasıl geliştirdiğine dair yeni kanıtlar ortaya çıkardık ve yayınlanan yol haritasını onurlandırdık.

Kötü amaçlı yazılım hala geliştirilme aşamasında olmasına rağmen, hileli faaliyetleri geniş ölçekte sürdürmeye hazır" diyor Cleafy Team.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.