SOVA Android bankacılık truva atı, yeni özellikler, kod iyileştirmeleri ve mobil cihazlardaki dosyaları şifreleyen yeni bir fidye yazılımı özelliğinin eklenmesiyle gelişmeye devam ediyor.
En son sürümle birlikte, SOVA kötü amaçlı yazılımı artık 200’den fazla bankacılık, kripto para birimi değişimi ve dijital cüzdan uygulamasını hedef alarak hassas kullanıcı verilerini ve bunlardan çerezleri çalmaya çalışıyor.
Ayrıca, güvenliği ihlal edilmiş cihazda daha gizli çalışmasına yardımcı olan yeniden düzenlenmiş ve geliştirilmiş koda sahiptir ve en son sürümü 5.0, bir fidye yazılımı modülü ekler.
Hızlı evrim
Mobil güvenlik firması Cleafy’deki tehdit analistleri, projenin Eylül 2021’de duyurulmasından bu yana SOVA’nın gelişimini takip ediyor ve gelişiminin 2022’de hızla arttığını bildiriyor.
Mart 2022’de SOVA, dünya çapında birden fazla banka için 2FA müdahalesi, çerez çalma ve yeni enjeksiyonlar ekleyerek sürüm 3’ü yayınladı. Enjeksiyonlar, çevrimiçi banka uygulamaları gibi kimlik bilgilerini çalmak için kullanılan meşru oturum açma istemleri üzerinde gösterilen bindirmelerdir.
Temmuz 2022’de SOVA’nın geliştirme ekibi, hedeflenen uygulamaları 200’e çıkaran ve cihaz içi dolandırıcılık için VNC (sanal ağ bilgi işlem) özellikleri ekleyen sürüm 4’ü yayınladı.
Kötü amaçlı yazılım, yüklü uygulamaların bir listesini C2’ye gönderir ve kurban hedeflenen bir uygulamayı açtığında yüklenecek doğru kaplamalara işaret eden bir adres listesi içeren bir XML alır.
Dördüncü ana sürüm ayrıca ekran görüntüsü alma, tıklama ve kaydırma yapma, dosyaları kopyalama ve yapıştırma ve isteğe bağlı olarak kaplama ekranları sunma gibi komutlar için destek ekledi.
Bu sürüm ayrıca, artık Gmail, GPay ve Google Password Manager’ı hedefleyen çerez çalma mekanizmasında önemli bir kod yeniden düzenlemesi gördü.
SOVA v4, savunma eylemlerine karşı bazı korumalar ekledi ve Erişilebilirlik izinlerini kötüye kullanarak uygulamayı manuel olarak kaldırmaya çalışırsa kullanıcıyı ana ekrana geri itti.
Son olarak, dördüncü sürüm Binance ve platformun ‘Güven Cüzdanı’ uygulamasına odaklandı ve kullanıcının gizli tohum ifadesini çalmak için oluşturulan özel bir modül kullandı.
Yeni fidye yazılımı modülü
Daha yakın zamanlarda, Cleafy, çok sayıda kod geliştirmesi ve fidye yazılımı modülü gibi yeni özelliklerin eklenmesiyle birlikte gelen SOVA v5’in erken bir sürümünün örneğini aldı.
Modül, virüslü cihazlardaki tüm dosyaları kilitlemek ve yeniden adlandırılan, şifrelenmiş dosyalara “.enc” uzantısını eklemek için AES şifrelemesini kullanır.
“Fidye yazılımı özelliği, Android bankacılık truva atları ortamında hala yaygın olmadığı için oldukça ilginç. Mobil cihazlar çoğu insan için kişisel ve iş verileri için merkezi depolama haline geldiğinden, son yıllarda ortaya çıkan fırsattan güçlü bir şekilde yararlanıyor.” – açık
Beşinci sürüm henüz geniş çapta dağıtılmamıştır ve VNC modülü ilk örneklerden eksiktir, bu nedenle bu sürümün hala geliştirilme aşamasında olması muhtemeldir.
Cleafy’ye göre SOVA v5, mevcut, tamamlanmamış haliyle bile toplu dağıtıma hazırdır, bu nedenle tüm Android kullanıcılarına dikkatli olunması önerilir.
Son olarak, kötü amaçlı yazılımın yazarı kararlı ve Eylül 2021 sözlerini yerine getirebilecek, geliştirme zaman çizelgesine bağlı kalarak ve birkaç ayda bir gelişmiş özellikler ekleyebilecek durumda görünüyor.
Bu, SOVA’yı artan yoğunlukta bir tehdit haline getiriyor, çünkü bankacılık truva atı artık kendisini henüz keşfedilmemiş mobil fidye yazılımı alanının öncülerinden biri olarak görüyor.