Araştırmacılar, SOVA adlı yeni bir Android bankacılık truva atının (Rusça “baykuş”) aktif olarak geliştirilmekte olduğunu ve emekleme aşamasında bile büyük hayalleri olduğunu söyledi. Kötü amaçlı yazılım, dağıtılmış hizmet reddi (DDoS), ortadaki adam (MiTM) ve fidye yazılımı işlevselliğini mevcut bankacılık yer paylaşımı, bildirim manipülasyonu ve tuş kaydetme hizmetlerinin üzerine cephaneliğine dahil etmek istiyor.
Cuma günü yapılan bir analizde , “Bu kötü amaçlı yazılım hala emekleme aşamasındadır [ilk olarak Ağustos’ta ortaya çıkıyor, şimdi yalnızca sürüm 2’de] ve bir test aşamasından geçiyor. Yol haritası, test için kullanılabilirliğinin reklamını yapan yer altı forum gönderilerinde düzenlenmiştir.
“SOVA, geleneksel masaüstü kötü amaçlı yazılımlarından bir sayfa alıyor” diye eklediler. “DDoS, ortadaki adam ve cephaneliğine fidye yazılımı dahil olmak üzere, bindirme ve tuş kaydetme saldırılarının hizmet ettiği zaten çok tehlikeli tehdide ek olarak, son kullanıcılar için inanılmaz hasar anlamına gelebilir.”
Analiz, kötü amaçlı yazılım yazarlarının kodlama ve geliştirme seçimlerinin de SOVA’nın gelişmişliğini yansıttığını gösterdi.
ThreatFabric’e göre, “Geliştirme ile ilgili olarak, SOVA, Android tarafından desteklenen ve birçok kişi tarafından Android geliştirmenin geleceği olarak düşünülen bir kodlama dili olan Kotlin’de tamamen geliştirilmiş olmasıyla da öne çıkıyor.” “Yazarın gelecekteki özelliklerle ilgili sözleri tutulursa, SOVA potansiyel olarak bugüne kadar Kotlin’de tamamen geliştirilecek en eksiksiz ve gelişmiş Android botu olabilir.”
Bu arada SOVA, komut ve kontrol (C2) sunucusuyla iletişimi için RetroFit olarak bilinen meşru açık kaynaklı projeye güveniyor.
Araştırmacılar, “Güçlendirme, Square tarafından geliştirilen Android, Java ve Kotlin için güvenli bir REST istemcisidir” dedi. “Kitaplık, API’lerin kimliğini doğrulamak ve bunlarla etkileşim kurmak ve OkHttp ile ağ istekleri göndermek için güçlü bir çerçeve sağlıyor.”
Bankacılık Truva Atı Özellikleri
Araştırmacılar, SOVA’nın her şeyden önce bir bankacılık truva atı olduğunu ve yazarlarının gelişiminin bu kısmına da yenilik uyguladığını belirtti. Örneğin, SOVA, bindirme saldırılarının daha geleneksel bankacılık cephesini gözden kaçırmaz.
Yer paylaşımlı saldırılar, kötü amaçlı yazılımın, kullanıcıların mobil bankacılıkta oturum açtıklarında gördükleri ekranı taklitçi bir ekranla değiştirdiği ve böylece kurbanın girdiği tüm kimlik bilgilerini topladığı bankacılık truva atları tarafından kullanılan yaygın bir taktiktir.
SOVA örneğinde, taklit edebildiği hedefler arasında bankacılık uygulamaları, kripto para cüzdanları ve çalışması için kredi kartı erişimi gerektiren alışveriş uygulamaları yer alıyor.
Araştırmacılar, “Yazarlara göre, ABD ve İspanya’dan farklı bankacılık kurumları için halihazırda birden fazla bindirme mevcut, ancak bunlar, alıcıdan gerektiğinde daha fazlasını yaratma imkanı sunuyor” dedi. Ayrıca, ThreatFabric’in bildirdiğine göre, sürüm 2, bazı Rus bankalarının kullanıcılarını hedeflemek için işlevsellik içeriyor.
SOVA, kurbanın kimlik bilgilerini ve diğer kişisel olarak tanımlanabilir bilgilerini (PII) daha iyi toplamak için Android’in Erişilebilirlik Hizmetlerinde bankacılık yapıyor.
Araştırmacılar, “İlk kez başlatıldığında, kötü amaçlı yazılım uygulama simgesini gizler ve düzgün çalışması için gerekli tüm izinleri almak için Erişilebilirlik Hizmetlerini kötüye kullanır” dedi. Bu izinlerden bazıları, örneğin kurbandan daha iyi saklanmak için SMS mesajlarını ve bildirimleri engellemesine izin veriyor ayrıca iki faktörlü kimlik doğrulamasını atlama yeteneği de var.
Araştırmacılar, “Çerezler, kullanıcıların kimlik bilgilerini tekrar tekrar girmek zorunda kalmadan tarayıcılarında açık oturumları sürdürmelerine olanak tanıyan web işlevselliğinin hayati bir parçasıdır” dedi. “SOVA, hedef uygulama için meşru bir web URL’si açmak için bir Web Görünümü oluşturacak ve kurban başarıyla oturum açtığında çerezleri çalacaktır. Gmail veya PayPal gibi büyük web sitelerinden kolaylıkla oturum çerezlerini çalabilir.”
SOVA’nın daha yeni sürümünde, siber dolandırıcılar, tanımlama bilgilerini otomatik olarak izleyecekleri bir uygulama listesi oluşturma seçeneğini de ekledi.
ThreatFabric, sürüm 2’nin sunduğu diğer bir özelliğin pano manipülasyonu, yani kripto para birimini çalmak amacıyla sistem panosundaki verileri değiştirme yeteneği olduğunu açıkladı.
Araştırmacılar, “Bot, panoya bazı yeni veriler kaydedildiğinde kötü amaçlı yazılımı bilgilendirmek için tasarlanmış bir olay dinleyicisi kurar” dedi. “Veri dizisi potansiyel olarak bir kripto para cüzdan adresiyse, SOVA bunu karşılık gelen kripto para birimi için geçerli bir adresle değiştirir.”
Şu ana kadar desteklenen kripto para birimleri Binance, Bitcoin, Ethereum ve TRON’dur.
Hâlâ yol haritasında önde olan SOVA yazarları, yakında “otomatik üç aşamalı bindirme enjeksiyonları” ekleyeceklerini söylediler.
Araştırmacılar, “Üç aşamanın ne anlama geldiği net değil, ancak daha fazla ilerleme ve gerçekçi süreç anlamına gelebilir, belki de cihaza ek yazılımların indirilmesi anlamına gelebilir” dedi.
SOVA: İyi Düşünülmüş Bir Geliştirme Yol Haritası
Araştırmacılar, kötü amaçlı yazılımın yazarlarının açıkça SOVA’nın geleceğiyle ilgili pek çok emelleri olduğunu ve Android ekosistemi için tehlikeli bir tehdit olma potansiyeline sahip olduğu sonucuna vardı.
“Gelecekteki gelişmelerde eklenen ikinci özellik grubu çok gelişmiş ve SOVA’yı Android bankacılık kötü amaçlı yazılımları için farklı bir alana itecek” dediler. “Yazarlar yol haritasına bağlı kalırsa, DDoS yetenekleri, fidye yazılımı ve gelişmiş bindirme saldırıları da içerebilecek. Bu özellikler, SOVA’yı piyasadaki en zengin özellikli Android kötü amaçlı yazılım haline getirecek ve finans kurumlarını hedef alan Android bankacılık truva atları için ‘yeni norm’ haline gelebilir.”
Bazı yönlerden SOVA, diğer siber saldırı türlerine geçmeden ve dünya çapında kötü aktörler tarafından kullanılan en popüler ve yaygın truva atlarından biri haline gelmeden önce bankacılık truva atı olarak hayata başlayan çok platformlu bir kötü amaçlı yazılım olan TrickBot’un ayak izlerini takip ediyor olabilir. Şimdi, bir dizi devam eden fidye yazılımı ve diğer kötü amaçlı yazılımlar sunarak, birinci aşama bir enfeksiyon olarak hareket etme konusunda uzmanlaşmıştır.
İlginç bir şekilde, TrickBot’un yazarları son zamanlarda TrickBot’un banka dolandırıcılığı oyununa geri döndüğünü gösterebilecek bazı kod değişiklikleri başlattılar – özellikle Zeus’tan türetilen çevrimiçi bankacılık kimlik bilgilerini çalmak için bir tarayıcıda adam (MitB) özelliği eklediler. bankacılık truva atı – potansiyel olarak yaklaşan bir dolandırıcılık saldırısı saldırısına işaret ediyor.