В сентябре 2021 года на одном из известных подпольных форумов было объявлено о появлении SOVA, нового банковского троянца для Android. Хотя в то время автор утверждал, что вредоносная программа все еще находится в стадии разработки, на самом деле она уже обладала множеством возможностей и практически находилась на стадии выхода на рынок.
До марта 2022 года было найдено несколько версий SOVA, и некоторые из этих функций уже были реализованы, например: перехват 2FA, кража файлов cookie и инъекции для новых целей и стран (например, нескольких филиппинских банков).
В июле 2022 года мы обнаружили новую версию SOVA (v4), которая обладает новыми возможностями и, похоже, нацелена на более чем 200 мобильных приложений, включая банковские приложения и криптовалютные биржи/кошельки.
SOVA v4
Начиная с мая 2022 года, акторы угроз (TA), стоящие за SOVA, начали поставлять новую версию своей вредоносной программы, скрывающуюся в поддельных приложениях для Android, которые отображаются с логотипом нескольких известных, таких как Chrome, Amazon, платформа NFT или других.
В отличие от предыдущих версий, на этот раз было добавлено несколько новых кодов. Наиболее интересная часть связана с возможностью VNC. Как показано на рисунке 1, эта функция была включена в дорожную карту SOVA с сентября 2021 года, что является одним из убедительных доказательств того, что TA постоянно обновляют вредоносную программу, добавляя новые функции и возможности.
Начиная с SOVA v4, TA могут получать скриншоты зараженных устройств, чтобы получить больше информации от жертв. Кроме того, вредоносная программа способна записывать и получать любую конфиденциальную информацию, как показано на рисунке 5. Эти функции в сочетании с сервисами Accessibility позволяют TA выполнять жесты и, соответственно, мошеннические действия с зараженного устройства, как мы уже видели в других банковских троянцах Android (например, Oscorp или BRATA).
С помощью SOVA v4 TA могут управлять несколькими командами, такими как: нажатие на экран, пролистывание, копирование/вставка, а также возможность показывать оверлейный экран, чтобы скрыть экран для жертвы. Однако было замечено, что информация из нескольких журналов по-прежнему отправляется обратно на C2. Такое поведение является убедительным показателем того, что SOVA все еще находится в процессе разработки, в то время как ТП внедряют новые функции и возможности.
Более того, в SOVA v4 механизм кражи cookie был доработан и улучшен. В частности, TA указали полный список сервисов Google, которые они хотят украсть (например, Gmail, GPay и Google Password Manager), а также список других приложений. Для каждого из украденных файлов cookie SOVA также будет собирать дополнительную информацию, такую как "is httpOnly", срок действия и т.д.
Еще одним интересным обновлением в SOVA v4 является доработка модуля "защиты", который направлен на защиту от различных действий жертвы. Например, если пользователь пытается удалить вредоносное ПО из настроек или нажатием на иконку, SOVA способна перехватить эти действия и предотвратить их (через злоупотребление Accessibilities), вернувшись на главный экран и показав тост (небольшое всплывающее окно) с надписью "Это приложение защищено".
Особенностью SOVA v4 является перемещение "ядра" вредоносной программы. Как и основной банковский троян для Android, SOVA использует .apk только для распаковки файла .dex, который содержит реальные вредоносные функции вредоносной программы. В предыдущей версии SOVA хранила файл .dex в каталоге приложения, в то время как в текущей версии для его хранения используется каталог общего хранилища устройства ("Android/obb/").
Наконец, в SOVA v4 целый новый модуль был посвящен бирже Binance и Trust Wallet (официальный криптокошелек Binance). Для обоих приложений целью TA является получение различной информации, такой как баланс счета, различные действия, выполняемые жертвой внутри приложения, и, наконец, даже начальная фраза (набор слов), используемая для доступа к криптокошельку.
Коммуникации и панель C2
Коммуникации между SOVA v4 и C2 не изменились по сравнению с предыдущей версией (v3), за исключением новой команды (vncinfo), используемой для новой функции VNC. Между тем, панель C2 SOVA была обновлена по сравнению с первой версией, опубликованной автором в сентябре 2021 года, с некоторыми новыми функциями и полным рестайлингом пользовательского интерфейса.
Новые целевые приложения
В первой версии SOVA было почти 90 целевых приложений (включая банки, криптокошельки/обменники и обычные приложения для покупок), которые изначально были перечислены и хранились в файле packageList.txt в папке assets/. В последних образцах этот файл был удален, а управление целевыми приложениями осуществляется посредством связи между вредоносной программой и C2.
Количество целевых приложений растет быстрее, чем на начальных этапах SOVA: в марте 2022 года были добавлены несколько филиппинских банков, а в мае 2022 года - еще один список банковских приложений.
Чтобы получить список целевых приложений, SOVA отправляет список всех приложений, установленных на устройстве, на C2 сразу после их установки. В этот момент С2 отправляет обратно вредоносному ПО список адресов для каждого целевого приложения и сохраняет эту информацию в XML-файле.
Еще одним интересным фактом является то, что в некоторых из проанализированных образцов SOVA v4 был удален список регионов СНГ, использовавшийся в предыдущих версиях (использовавшийся для исключения этих стран из атак), а на момент написания статьи были удалены все первоначальные приложения, предназначенные для России и Украины.
Дальнейшие обновления - SOVA v5
Во время рассмотрения документа по SOVA v4 мы обнаружили на нашей платформе анализа угроз (Cleafy ASK) несколько образцов, которые, по-видимому, принадлежат к следующему варианту SOVA (v5); мы хотим предоставить вам обзор и этого варианта.
Анализируя код вредоносной программы, можно отметить значительный рефакторинг кода, добавление новых функций и некоторые небольшие изменения в обмене данными между вредоносной программой и C2-сервером. Кроме того, в проанализированных нами образцах SOVA v5 отсутствует модуль VNC, который мы наблюдали в SOVA v4: наша гипотеза заключается в том, что он просто не был интегрирован в версию v5. На самом деле, судя по наличию многочисленных журналов, используемых для отладки, вредоносная программа все еще находится в стадии разработки.
Несмотря на ряд изменений, наиболее интересной функцией, добавленной в SOVA v5, является модуль ransomware, который был анонсирован в дорожной карте в сентябре 2021 года.
Однако, несмотря на то, что эта функция уже реализована в текущей версии (v5), на момент написания статьи она, похоже, все еще находится в разработке.
Цель TAs - зашифровать файлы внутри зараженных устройств с помощью алгоритма AES и переименовать их с расширением ".enc".
Функция ransomware довольно интересна, так как она все еще не часто встречается в ландшафте банковских троянов для Android. Она в значительной степени использует возможности, появившиеся в последние годы, когда мобильные устройства стали для большинства людей центральным хранилищем личных и рабочих данных.
Indicators of Compromise
Domains
- omainwpatnlfq.site
- satandemantenimiento.com
- socrersutagans.site
URLs
- http://wecrvtbyutrcewwretyntrverfd.xyz
MD5
- 0533968891354ac78b45c486600a7890
- 74b8956dc35fd8a5eb2f7a5d313e60ca
- ca559118f4605b0316a13b8cfa321f65