WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Trojan SOVA quay trở lại với các khả năng và mục tiêu mới
Trojan ngân hàng SOVA đang tiếp tục được phát triển và nâng cấp các khả năng để nhắm mục tiêu tới gần 200 ứng dụng di động, bao gồm các ứng dụng ngân hàng, sàn giao dịch tiền điện tử và ví.
Theo thông tin từ công ty Cleafy của Ý, các phiên bản mới của mã độc có chức năng chặn mã xác thực hai yếu tố (2FA), ăn cắp cookie và mở rộng nhắm mục tiêu đến các quốc gia Úc, Brazil, Trung Quốc, Ấn Độ, Philippines và Vương quốc Anh.
Trong vòng chưa đầy một năm, trojan này cũng đã hoạt động dưới dạng một nền tảng cho một phần mềm độc hại Android khác có tên là MaliBot, được thiết kế để nhắm mục tiêu đến các khách hàng sử dụng ví tiền điện tử và ngân hàng trực tuyến ở Tây Ban Nha và Ý.
Biến thể mới nhất của SOVA, được Cleafy đặt tên là v4, tự giấu mình trong các ứng dụng giả mạo dưới logo của các ứng dụng hợp pháp như Amazon và Google Chrome để đánh lừa người dùng cài đặt. Những cải tiến đáng chú ý khác bao gồm chụp ảnh màn hình và ghi lại màn hình thiết bị.
"Các tính năng này, kết hợp với các dịch vụ Trợ năng (accessibility service), cho phép thực hiện hoạt động gian lận từ thiết bị bị nhiễm, giống như các Trojan Ngân hàng Android khác (ví dụ: Oscorp hoặc BRATA)", các chuyên gia của Cleafy cho biết.
SOVA v4 cũng đáng chú ý bởi nỗ lực thu thập thông tin nhạy cảm từ Binance và Trust Wallet, chẳng hạn như số dư tài khoản và “seed pharase” (khóa dùng để truy cập ví tiền điện tử). Hơn nữa, tất cả 13 ứng dụng ngân hàng có trụ sở tại Nga và Ukraine trước đây từng là mục tiêu của SOVA đã được loại khỏi danh sách đích ngắm của phiên bản này.
Tệ hơn, bản cập nhật cho phép phần mềm độc hại tận dụng các quyền trên phạm vi rộng để làm chệch hướng các nỗ lực gỡ cài đặt bằng cách chuyển hướng nạn nhân đến màn hình chính và hiển thị thông báo "Ứng dụng này được bảo mật".
Những trojan ngân hàng với nhiều tính năng như SOVA được cho là sẽ kết hợp thành phần ransomware trong thế hệ tiếp theo. Ở thời điểm hiện tại, chúng, đang được phát triển và mã hóa tất cả các tệp được lưu trữ trong thiết bị bị nhiễm bằng AES, đồng thời đổi tên tệp thành tên có phần mở rộng ".enc."
Việc cải tiến này cũng có khả năng làm cho SOVA trở thành một mối đe dọa đáng gờm cho thiết bị di động.
Theo thông tin từ công ty Cleafy của Ý, các phiên bản mới của mã độc có chức năng chặn mã xác thực hai yếu tố (2FA), ăn cắp cookie và mở rộng nhắm mục tiêu đến các quốc gia Úc, Brazil, Trung Quốc, Ấn Độ, Philippines và Vương quốc Anh.
Trong vòng chưa đầy một năm, trojan này cũng đã hoạt động dưới dạng một nền tảng cho một phần mềm độc hại Android khác có tên là MaliBot, được thiết kế để nhắm mục tiêu đến các khách hàng sử dụng ví tiền điện tử và ngân hàng trực tuyến ở Tây Ban Nha và Ý.
Biến thể mới nhất của SOVA, được Cleafy đặt tên là v4, tự giấu mình trong các ứng dụng giả mạo dưới logo của các ứng dụng hợp pháp như Amazon và Google Chrome để đánh lừa người dùng cài đặt. Những cải tiến đáng chú ý khác bao gồm chụp ảnh màn hình và ghi lại màn hình thiết bị.
"Các tính năng này, kết hợp với các dịch vụ Trợ năng (accessibility service), cho phép thực hiện hoạt động gian lận từ thiết bị bị nhiễm, giống như các Trojan Ngân hàng Android khác (ví dụ
SOVA v4 cũng đáng chú ý bởi nỗ lực thu thập thông tin nhạy cảm từ Binance và Trust Wallet, chẳng hạn như số dư tài khoản và “seed pharase” (khóa dùng để truy cập ví tiền điện tử). Hơn nữa, tất cả 13 ứng dụng ngân hàng có trụ sở tại Nga và Ukraine trước đây từng là mục tiêu của SOVA đã được loại khỏi danh sách đích ngắm của phiên bản này.
Những trojan ngân hàng với nhiều tính năng như SOVA được cho là sẽ kết hợp thành phần ransomware trong thế hệ tiếp theo. Ở thời điểm hiện tại, chúng, đang được phát triển và mã hóa tất cả các tệp được lưu trữ trong thiết bị bị nhiễm bằng AES, đồng thời đổi tên tệp thành tên có phần mở rộng ".enc."
Việc cải tiến này cũng có khả năng làm cho SOVA trở thành một mối đe dọa đáng gờm cho thiết bị di động.
Theo: The Hacker news
Chỉnh sửa lần cuối: