Android 特洛伊木馬

研究人員表示，一種名為SOVA（俄語為“貓頭鷹”）的新型Android銀行木馬正在積極開發中，即使在起步階段，它也表現的野心勃勃。該惡意軟件希望將分布式拒絕服務（DDoS）、中間人（MiTM）和RANSOMSORT功能整合到其武器庫中——在現有的銀行覆蓋、通知操作和鍵盤記錄服務之上。

據ThreatFabric的研究人員稱，該惡意軟件的作者正在為這個目標持續努力。

他們在周五的一份分析報告中表示：“這種惡意軟件仍處于起步階段（首次出現在8月，現在只更新到第2版），并且它正在經歷一個測試階段……正在為不久的將來制定令人擔憂的計劃。”他們還指出，該惡意軟件的路線圖在地下論壇帖子中列出，宣傳其可用于測試。

“SOVA正在……從傳統的桌面惡意軟件中汲取靈感。”“包括DDoS、中間人和勒索軟件在內，除了覆蓋和鍵盤記錄攻擊所帶來的已經非常危險的威脅之外，還可能對最終用戶造成難以挽回的損害。”

分析顯示，惡意軟件作者的編碼和開發選擇也說明了SOVA的復雜性。

ThreatFabric表示：“在開發方面，SOVA還因完全在Kotlin環境中開發而脫穎而出，Kotlin是Android支持的一種編碼語言，被許多人認為是Android開發的未來。”“如果作者對未來功能的承諾得到遵守，SOVA可能成為迄今為止在Kotlin中完全開發的最完整和最先進的Android機器人。”

與此同時，SOVA依賴于稱為RetroFit的合法開源項目與命令和控制（C2）服務器進行通信。

研究人員說：“Retrofit是Square開發的適用于Android、Java和Kotlin的類型安全REST客戶端。”“該庫提供了一個強大的框架，用于對API進行身份驗證和交互，以及使用OkHttp發送網絡請求。”

銀行木馬特點

研究人員指出，SOVA首先是一種銀行木馬，其作者也在將創新應用于其開發的這一部分。例如，SOVA并沒有忽略覆蓋攻擊的更傳統的銀行業務。

Overlay攻擊是銀行木馬使用的一種常見策略，其中惡意軟件將用戶登錄手機銀行時看到的屏幕替換為仿制的屏幕——從而獲取受害者輸入的任何憑據。

在SOVA的案例中，它能夠模仿的目標包括需要信用卡訪問才能操作的銀行應用程序、加密貨幣錢包和購物應用程序。

研究人員指出：“根據作者的說法，美國和西班牙的不同銀行機構已經有多種疊加可供選擇，但它們提供了在買方有需要的情況下創造更多疊加的可能性。”此外，第二版包含針對某些俄羅斯銀行用戶的功能——這引起了其他論壇用戶的憤怒。

為了更好地收集受害者的憑據和其他個人身份信息（PII），SOVA正在利用Android的無障礙服務——這也是一項傳統功能。

研究人員解釋說：“當它第一次啟動時，惡意軟件會隱藏其應用程序圖標并濫用無障礙服務以獲得所有必要的權限以正常運行。”其中一些權限允許它攔截SMS消息和通知，例如，更好地躲避受害者，并且在路線圖上還有規避雙因素身份驗證的能力。

根據分析，SOVA已經擁有一項非常罕見的銀行木馬功能，這在Android惡意軟件中非常突出：竊取會話cookie的能力，這允許惡意軟件搭載有效登錄的銀行會話，從而避免了需要銀行憑據才能訪問受害者賬戶的情況。

研究人員指出：“Cookie是網絡功能的重要組成部分，它允許用戶在瀏覽器上保持打開的會話，而無需反復重新輸入其憑據。”“SOVA將創建一個WebView來為目標應用程序打開一個合法的Web URL，并在受害者成功登錄后竊取cookie……它能夠輕松地從Gmail或PayPal等主要網站竊取會話cookie。”

在較新版本的SOVA中，網絡騙子還添加了創建應用程序列表的選項，以便自動監控cookie。

ThreatFabric解釋說，第2版提供的另一個功能是剪貼板操作，即更改系統剪貼板中的數據以竊取加密貨幣的能力。

研究人員說：“機器人設置了一個事件偵聽器，旨在在剪貼板中保存一些新數據時通知惡意軟件。”“如果數據串可能是加密貨幣錢包地址，SOVA會用相應加密貨幣的有效地址替換它。”

目前支持的加密貨幣是Binance、比特幣、以太坊和TRON。

SOVA的作者在路線圖上仍處于領先地位，他們表示他們將很快添加“自動三階段疊加諸如”。

研究人員指出：“尚不清楚這三個階段意味著什么，但它可能意味著更多的進步和更現實的過程，可能意味著向設備下載更多的軟件。”

SOVA：深思熟慮的發展路線圖

研究人員總結說，惡意軟件的作者顯然對SOVA的未來抱有很大的野心，它確實有可能成為Android生態系統的危險威脅。

“在未來的開發中添加的第二組功能非常先進，并將推動SOVA進入Android銀行惡意軟件的不同領域。”“如果作者堅持路線圖，它還將能夠具有……DDoS功能、勒索軟件和高級覆蓋攻擊。這些功能將使SOVA成為市場上功能最豐富的Android惡意軟件，并可能成為針對金融機構的Android銀行木馬的‘新規范’。”

在某些方面，SOVA可能會步TrickBot的后塵，TrickBot是一種多平臺惡意軟件，最初是一種銀行木馬，然后轉向其他類型的網絡攻擊，并成為全球不法分子使用的最流行和最普遍的木馬之一。它現在專門充當第一階段感染，提供一系列后續勒索軟件和其他惡意軟件。

有趣的是，TrickBot的作者最近對代碼進行了一些更改，這可能表明TrickBot正在重返銀行欺詐游戲——特別是添加了一種瀏覽器人（MitB）功能，用于竊取源自Zeus的在線銀行憑證，早期的Zeus銀行木馬可能預示著欺詐攻擊即將到來。