據(jù)infosecurity消息，肆虐Android平臺(tái)的銀行木馬 SOVA 卷土重來(lái)，和之前相比增加了更多的新功能，甚至還有可能進(jìn)行勒索攻擊。8月11日，安全公司 Cleafy 對(duì)SOVA木馬進(jìn)行細(xì)致調(diào)查，并以報(bào)告的形式分享了調(diào)查結(jié)果。

報(bào)告指出，2021年9月，SOVA首次被安全人員發(fā)現(xiàn)，當(dāng)時(shí)其開發(fā)人員在暗網(wǎng)上發(fā)布了未來(lái)更新的路線圖，并聲稱正在進(jìn)入市場(chǎng)。在接下來(lái)的幾個(gè)月里，Cleafy 公司還發(fā)現(xiàn)了SOVA的各種迭代版本，實(shí)現(xiàn)了更新路線圖中提到的某些功能。其中包括雙因素身份驗(yàn)證 (2FA) 攔截、cookie 竊取和針對(duì)新目標(biāo)和國(guó)家（例如多家菲律賓銀行）的注入。

根據(jù)報(bào)告，SOVA將分布式拒絕服務(wù)（DDoS）、中間人（MiTM）和 RANSOMSORT 功能整合到其武器庫(kù)中——在現(xiàn)有的銀行覆蓋、通知操作和鍵盤記錄服務(wù)之上。SOVA還可以模仿的目標(biāo)包括需要信用卡訪問(wèn)才能操作的銀行應(yīng)用程序、加密貨幣錢包和購(gòu)物應(yīng)用程序。

2022年7月，Cleafy公司發(fā)現(xiàn)了SOVA (V4)版本，并在其最新的公告中進(jìn)行詳細(xì)說(shuō)明，針對(duì)的目標(biāo)應(yīng)用APP也從2021年的90個(gè)增加至200個(gè)，包括銀行應(yīng)用程序和加密貨幣交易所/錢包。

Cleafy 公司在報(bào)告中表示，“SOVA最有趣的部分與虛擬網(wǎng)絡(luò)計(jì)算功能有關(guān)，自 2021 年 9 月以來(lái)，此功能一直在 SOVA 路線圖中，這是攻擊者不斷更新惡意軟件新功能的一個(gè)有力證據(jù)。”

此外，SOVA的最新版本還可以從受感染的設(shè)備中獲取屏幕截圖、記錄和執(zhí)行手勢(shì)以及管理多個(gè)命令。在 SOVA V4版本，cookie 竊取機(jī)制被進(jìn)一步重構(gòu)和改進(jìn)，以指定目標(biāo) Google 服務(wù)的綜合列表以及其他應(yīng)用程序列表。而更新后的惡意軟件可以通過(guò)攔截那些卸載應(yīng)用程序的操作來(lái)保護(hù)自己。

值得注意的是，Cleafy聲稱發(fā)現(xiàn)了 SOVA 的新版本（V5），對(duì)于代碼進(jìn)行了重構(gòu)，添加了一些新功能，與命令/控制 (C2) 服務(wù)器之間通信的一些小變化。雖然SOVA V5 缺少 VNC 模塊，但它具有勒索軟件功能，這在移動(dòng)端中較為罕見。