最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

SOVA恶意软件添加勒索软件功能以加密Android设备

网络安全 快米云 来源:快米云 141浏览

SOVA Android 银行木马随着新功能、代码改进以及新的勒索软件功能的增加而不断发展,该功能可加密移动设备上的文件。

在最新版本中,SOVA 恶意软件现在针对 200 多个银行、加密货币交易所和数字钱包应用程序,试图从中窃取敏感的用户数据和 cookie。

此外,它还具有重构和改进的代码,有助于它在受感染的设备上更隐蔽地运行,而其最新版本 5.0 添加了一个勒索软件模块。

快速进化
自该项目于 2021 年 9 月宣布以来,移动安全公司 Cleafy 的威胁分析师一直在关注 SOVA 的演变,并报告称其发展在 2022 年迅速增加。

2022 年 3 月,SOVA 发布第 3 版,为全球多家银行增加了 2FA 拦截、cookie 窃取和新注入。注入是在合法登录提示上显示的覆盖,用于窃取凭据,例如在线银行应用程序的凭据。

2022 年 7 月,SOVA 的开发团队发布了第 4 版,将目标应用程序增加到 200 个,并增加了针对设备欺诈的 VNC(虚拟网络计算)能力。

SOVA v3(左)和 SOVA v4(右)针对的银行应用程序 (Cleafy)
恶意软件向 C2 发送已安装应用程序的列表,并接收包含地址列表的 XML,这些地址指向当受害者打开目标应用程序时要加载的正确覆盖。

第四个主要版本还增加了对诸如截屏、执行点击和滑动、复制和粘贴文件以及随意提供覆盖屏幕等命令的支持。

此版本还对 cookie 窃取机制进行了重大代码重构,现在针对 Gmail、GPay 和 Google 密码管理器。

重构的 cookie 窃取代码 (Cleafy)
SOVA v4 添加了一些针对防御性操作的保护措施,如果用户尝试手动卸载应用程序,则会滥用辅助功能权限将用户推回主屏幕。

最后,第四个版本专注于 Binance 和平台的“Trust Wallet”应用程序,使用创建的专用模块来窃取用户的秘密种子短语。

新的勒索软件模块

最近,Cleafy 对 SOVA v5 的早期版本进行了采样,该版本具有大量代码改进并添加了勒索软件模块等新功能。

SOVA 的新勒索软件模块 (Cleafy)
该模块使用 AES 加密来锁定受感染设备中的所有文件,并在重命名的加密文件上附加“.enc”扩展名。

“勒索软件功能非常有趣,因为它在 Android 银行木马领域仍然不常见。它有力地利用了近年来出现的机会,因为移动设备已成为大多数人的个人和企业数据的中央存储。” -清晰的

不过,第五个版本还没有广泛传播,早期样本中缺少它的 VNC 模块,所以这个版本很可能仍在开发中。

根据 Cleafy 的说法,即使是目前未完成的形式,SOVA v5 也已准备好进行大规模部署,因此建议所有 Android 用户保持警惕。

最后,恶意软件的作者似乎有决心并有能力履行其 2021 年 9 月的承诺,坚持开发时间表并每隔几个月添加一次高级功能。

这使得 SOVA 成为一种日益严重的威胁,因为银行木马现在将自己定位为移动勒索软件尚未开发的领域的先驱之一。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » SOVA恶意软件添加勒索软件功能以加密Android设备