黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月03日 16:47:00

SOVA—令人担忧的 Android 特洛伊木马

研究人员说,一种叫做SOVA(俄语为“猫头鹰”)的新型Android银行木马正在积极发展,即使在起步阶段,它也充满了野心。恶意软件希望分布式拒绝服务(DDoS)、中间人(MiTM)和RANSOMSORT功能集成到武器库中——在现有银行覆盖、通知操作和键盘记录服务上。

据ThreatFabric研究人员表示,恶意软件的作者正在继续为这一目标而努力。

他们在周五的一份分析报告中说:“这种恶意软件还处于起步阶段(第一次出现在8月,现在只更新到第二版),正在经历测试阶段……为不久的将来制定令人担忧的计划。”他们还指出,恶意软件的路线图在地下论坛帖子中列出,可用于测试。

“SOVA正在……灵感来自传统的桌面恶意软件。”“包括DDoS、除了覆盖和键盘记录攻击带来的非常危险的威胁外,中间人和勒索软件还可能对最终用户造成无法弥补的损害。”

分析表明,恶意软件作者的编码和开发选择也表明SOVA的复杂性。

ThreatFabric表示:“在开发方面,SOVA还因完全在Kotlin环境发展脱颖而出,Kotlin是Android支持的一种编码语言,被许多人认为是Android未来的发展。”“如果作者遵守对未来功能的承诺,SOVA到目前为止,为止Kotlin最完整、最先进的完全开发Android机器人。”

与此同时,SOVA依赖于称为RetroFit合法开源项目、命令和控制(C2)通信服务器。

研究人员说:“Retrofit是Square适用于开发Android、Java和Kotlin的类型安全REST客户端。”“图书馆为图书馆提供了一个强大的框架API身份验证和交互,以及使用OkHttp发送网络请求。”

银行木马的特点

研究人员指出,SOVA首先是一种银行木马,其作者也将创新应用于其创新。SOVA并没有忽略覆盖攻击的更传统的银行业务。

Overlay攻击是银行木马使用的常见策略,恶意软件将用户登录手机银行时看到的屏幕替换为仿制屏幕——从而获得受害者输入的任何凭证。

在SOVA在这种情况下,它可以模仿的目标包括需要信用卡访问的银行应用程序、加密货币钱包和购物应用程序。

研究人员指出:“据作者介绍,美国和西班牙的不同银行机构有多种叠加选择,但它们提供了在买方需要时创造更多叠加的可能性。”此外,第二版还包括一些俄罗斯银行用户的功能——这引起了其他论坛用户的愤怒。

为了更好地收集受害者的证据和其他个人身份信息(PII),SOVA正在利用Android无障碍服务——这也是传统功能。

研究人员解释说:“恶意软件在首次启动时,会隐藏其应用图标,滥用无障碍服务,以获得所有必要的正常运行权限。”其中一些权限允许其拦截SMS例如,新闻和通知可以更好地避免受害者,并且有能力在路线图上避免双因素身份验证。

根据分析,SOVA已经有了一个非常罕见的银行木马功能Android恶意软件非常突出:窃取会话cookie该能力允许恶意软件带有效登录的银行会话,避免需要银行凭证访问受害者账户。

研究人员指出:“Cookie它是网络功能的重要组成部分,允许用户在不重复输入其凭证的情况下在浏览器上打开会话。”“SOVA将创建一个WebView为目标应用程序打开合法性Web URL,受害者成功登录后被盗cookie……它很容易从Gmail或PayPal主要网站窃取会话cookie。”

更新版本SOVA为了自动监控,网络骗子还添加了创建应用程序列表的选项cookie。

ThreatFabric第二版提供的另一个功能是剪贴板操作,即更改系统剪贴板中的数据以窃取加密货币的能力。

研究人员说:“在剪贴板中保存一些新数据时,机器人设置了事件侦听器通知恶意软件。”“若数据串可能是加密货币钱包地址,SOVA它将被相应加密货币的有效地址所取代。”

目前支持的加密货币是Binance、以太坊和比特币TRON。

SOVA作者在路线图上仍处于领先地位,他们表示将很快添加“自动三阶段叠加等”。

研究人员指出:“这三个阶段意味着什么还不清楚,但它可能意味着更多的进步和更现实的过程,也可能意味着向设备下载更多的软件。”

SOVA:深思熟虑的发展路线图

研究人员得出结论,恶意软件的作者显然SOVA未来雄心勃勃,有可能成为Android生态系统的危险威胁。

“在未来的发展中添加的第二组功能非常先进,并将得到推广SOVA进入Android不同领域的银行恶意软件。”“如果作者坚持路线图,它也会有……DDoS功能、勒索软件和高级覆盖攻击。这些功能将使SOVA成为市场上功能最丰富的Android恶意软件可能成为金融机构Android银行木马的‘新规范’。”

在某些方面,SOVA可能会步TrickBot的后尘,TrickBot它是一种多平台恶意软件,最初是一种银行木马,然后转向其他类型的网络攻击,成为世界上最受欢迎和最常用的木马之一。它现在专门作为第一阶段感染,提供一系列后续勒索软件和其他恶意软件。

有趣的是,TrickBot作者最近更改了代码,这可能表明TrickBot重返银行欺诈游戏——特别是添加了浏览器人(MitB)来自窃取的功能Zeus网上银行凭证,早期Zeus银行木马可能预示着欺诈攻击即将到来。

本文翻译自:https://threatpost.com/sova-sophisticated-android-trojan/169366/如果转载,请注明原始地址。

   

标签:Android 特洛伊木马 SOVA 

作者:访客 , 分类:勒索病毒 , 浏览:538 , 评论:5

  • 评论列表:
  •  森槿勒言
     发布于 2022-06-17 15:30:28  回复该评论
  • VA的复杂性。ThreatFabric表示:“在开发方面,SOVA还因完全在Kotlin环境发展脱颖而出,Kotlin是Android支持的一种编码语言,被许多人认为是Android未来的发展。”“如果作者遵守对未来功能的承诺,SOVA到目前为止,为止Kot
  •  囤梦挽鹿
     发布于 2022-06-17 21:34:42  回复该评论
  • 行欺诈游戏——特别是添加了浏览器人(MitB)来自窃取的功能Zeus网上银行凭证,早期Zeus银行木马可能预示着欺诈攻击即将到来。本文翻译自:https://threatpost
  •  断渊瑰颈
     发布于 2022-06-17 14:06:01  回复该评论
  • 员得出结论,恶意软件的作者显然SOVA未来雄心勃勃,有可能成为Android生态系统的危险威胁。“在未来的发展中添加的第二组功能非常先进,并将得到推广SOVA进入Android不同领域的银行恶意软件。”“如果作者坚持路线图,它也会有……DDoS功能、勒索软件和
  •  听弧孤望
     发布于 2022-06-17 23:19:16  回复该评论
  • 货币钱包地址,SOVA它将被相应加密货币的有效地址所取代。”目前支持的加密货币是Binance、以太坊和比特币TRON。SOVA作者在路线图上仍处于领先地位,他们表示将很快添加“自动三阶段叠加等”。研究人员指出:“这
  •  颜于栀意
     发布于 2022-06-17 15:03:17  回复该评论
  • 论坛用户的愤怒。为了更好地收集受害者的证据和其他个人身份信息(PII),SOVA正在利用Android无障碍服务——这也是传统功能。研究人员解释说:“恶意软件在首次启动时,会隐藏其应用图标,滥用无障碍服务,以获得所

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.