BezpečnosťSpravodajstvo

Bankový malware SOVA je späť a znova je o čosi silnejší. Máme sa ho obávať aj my?

Malware SOVA nie je najstarší, no svojimi funkciami rozhodne patrí medzi pokročilé kódy. Najnovšia aktualizácia ho iba zosilnila.

Malware SOVA, ktorý sa sústreďuje na rôzne druhy bankových informácií a podvodov patrí rozhodne medzi tie pokročilejšie. No počiatok tohto škodlivého kódu vôbec nesiaha ďaleko. Jeho vydanie bolo oznámené na podvodných fórach v septembri minulého roku. Za ten čas ale tento malware získal viacero aktualizácií, ktoré z neho robia veľkú hrozbu a novinky stále iba pribúdajú. Na informáciu upozornil web cleafy.com.

Viaceré silné nástroje

Už v marci tohto roka mal malware SOVA viaceré verzie, ktoré obsahovali mimoriadne silné nástroje. Hovoríme tu napríklad o kradnutí súborov cookies či hesiel z dvojfázového overovania. V júli tohto roka bola rozpoznaná najnovšia verzia s poradovým číslom 4., ktorá je podľa odborníkov používaná už od mája. Najnovšia verzia sa dokáže zamerať na viac než 200 rôznych bankových aplikácií. Vynechané neboli ani aplikácie kryptobúrz a kryptopeňaženiek.

Verzia 4. ponúka zásadnú zmenu oproti svojim predchodcom. Spolu s nástrojmi spomenutými vyššie ponúka aj schopnosť Virtual Network Computing (VNC). To umožňuje útočníkovi vytvoriť vzdialené pripojenie, prostredníctvom ktorého vie vykonávať rôzne úkony v telefóne obete. Hackeri vedia následne po infikovaní zariadenia získať snímky obrazovky, ale i nahrávať obrazovku, čo im pomôže v následných krokoch. O obeti si totiž vedia zistiť množstvo informácií, napríklad to, aké aplikácie bežne používa. To dá útočníkom informácie nielen o tom, na akú bankovú aplikáciu sa majú zamerať ale taktiež to, za akú aplikáciu sa v systéme zamaskovať. Najčastejšie sa hackeri schovávajú za logá známych aplikácií, ako sú napríklad Chrome či Amazon.

SOVA nahrávanie obrazovky
Zdroj: cleafy.com

Zaujímavé je aj spracovanie zabezpečenia tohto malwaru. Obeť totiž kedykoľvek môže prísť na to, že aplikácia je falošná a ide o vírus. No pri pokuse o odinštalovanie škodlivej aplikácie systém vráti používateľa na domovskú obrazovku, kde vyskočí okno, ktoré oznamuje, že ide o zabezpečenú aplikáciu.

Kompletná kontrola nad zariadením

Okrem snímania obrazovky vedia útočníci na diaľku vykonať aj iné kroky. Ide napríklad o simulovanie potiahnutia či kliknutia prstom alebo o možnosť prekrytia originálneho obsahu tým podvodným. Každý vstup obete sa ale zasiela na C2 server čo naznačuje, že malware SOVA je stále vo vývoji. Nižšie môžete vidieť napríklad falošnú stránku aplikácie GooglePay, prostredníctvom ktorej bola prekrytá regulárna aplikácia.

SOVA príklad falošnej stránky
Zdroj: cleafy.com

Vylepšený bol ale aj mechanizmus kradnutia súborov cookies. Zameranie bolo zvýšené najmä na získavanie súborov z rôznych Google služieb, ako Gmail, GooglePay či Správca hesiel. Okrem toho získava SOVA aj dodatočné informácie, ako napríklad či ide iba o webovú verziu stránky alebo dátum vypršania platnosti daných súborov.

Zvláštnosťou SOVA v4 je „jadro“ premiestnenia malvéru. V predchádzajúcej verzii SOVA uložila súbor .dex do adresára aplikácie, zatiaľ čo v aktuálnej verzii používa na uloženie zdieľaný adresár zariadenia („Android/obb/“). Cieľom útočníkov v tomto prípade je vyhnutie sa detegovaniu škodlivého kódu v telefóne.

Nové ciele a aktualizácie

Počet cieľov samozrejme neustále pribúda. V prvej verzii malwaru ich bolo necelých 90, no dnes sa ich počet odhaduje na viac ako 200. SOVA expanduje taktiež aj medzi krajinami. Vysoký nárast prípadov bol zaznamenaný vo filipínskych bankách. Prítomným je ale aj v našom okolí, napríklad v Rakúsku a Česku. Kedysi bol zoznam aplikácií, ktoré vedela SOVA napadnúť známy v súboroch malwaru, no dnes je tento súbor vymazaný a cielené aplikácie sú spravované prostredníctvom spomenutej komunikácie medzi zariadením a C2 serverom.

Hneď po inštalácii totiž na daný C2 server pristane zoznam nainštalovaných aplikácií, na ktorého základe sa rozhodne, aké aplikácie budú napadnuté.

Zlou správou je taktiež to, že na pozadí sa pracuje už na verzii 5. Okrem údajného vylepšenia komunikácie medzi zariadením a C2 serverom prinesie pripravovaná verzia aj modul ransomware. Konkrétne má ísť o zašifrovanie súborov pomocou algoritmu AES, ktorý k súborom pridá príponu .enc. Ide o zaujímavý krok, pretože v mobilných vírusoch sa bežne modul ransomware nenachádza. Ide o reakciu na to, že čoraz viac ľudí využíva svoj mobil častejšie, než počítač.

Na ransomware útok sa ale dá pripraviť. Dôležitá je pravidelná prevencia a zálohovanie údajov. Svoje v tomto smere poradil aj Europol.

Tagy
Zobraziť komentáre
Close
Close