El troyano bancario para Android SOVA está de regreso y cuenta con capacidades actualizadas, con una versión adicional en desarrollo que contiene un módulo de ransomware.
Los investigadores de Cleafy, que documentaron el resurgimiento de SOVA, dicen que la versión 4 parece estar dirigida a más de 200 aplicaciones móviles, incluidas aplicaciones bancarias e intercambios/billeteras de criptomonedas. España parece ser el país más atacado por el malware, seguido de Filipinas y Estados Unidos.
El malware SOVA v4 está oculto dentro de aplicaciones falsas de Android disfrazadas con los logotipos de aplicaciones populares, como Chrome y Amazon. La última versión incluye un mecanismo de robo de cookies refactorizado y mejorado, que ahora puede especificar una lista de servicios de Google y otras aplicaciones específicas. Además, la actualización permite que el malware se proteja interceptando y desviando los intentos de desinstalación de la aplicación realizados por las víctimas.
Además, en las últimas versiones de SOVA, los atacantes pueden controlar los objetivos específicos a través de la interfaz de comando y control (C2). Esto aumenta la adaptabilidad del malware a una gran variedad de escenarios de ataque.
Además, tiene capacidades que permiten a los atacantes tomar capturas de pantalla y grabar y ejecutar comandos. Esto permite que un atacante busque formas de moverse lateralmente a otros sistemas o aplicaciones que podrían ser más lucrativos.
«La parte más interesante está relacionada con la [virtual network computing] capacidad», señala el informe. «Esta característica ha estado en la hoja de ruta de SOVA desde septiembre de 2021 y eso es una fuerte evidencia de que [threat actors] están constantemente actualizando el malware con nuevas características y capacidades».
Ransomware en el horizonte
El equipo de Cleafy también encontró evidencia que sugería que se está desarrollando una versión adicional del malware, la versión 5, que incluirá un módulo de ransomware que se había anunciado previamente en una hoja de ruta de desarrollo de septiembre de 2021.
«La función de ransomware es bastante interesante, ya que todavía no es común en el panorama de los troyanos bancarios de Android», señalan los investigadores de Cleafy. «Aprovecha fuertemente la oportunidad que ha surgido en los últimos años, ya que los dispositivos móviles se convirtieron para la mayoría de las personas en el almacenamiento central de datos personales y comerciales».
Cory Cline, consultor sénior de seguridad cibernética de nVisium, dice que agregar capacidades de ransomware a un troyano bancario ofrece muchas ventajas para los ciberdelincuentes.
«Ya no es necesario que roben sus datos personales para obtener acceso a su información financiera», explica. «Con capacidades de ransomware, los atacantes ahora pueden cifrar los dispositivos afectados».
Agrega que con más y más personas almacenando casi todos los aspectos de sus vidas en sus dispositivos móviles, los atacantes podrán encontrar más fácilmente objetivos dispuestos a pagar para recuperar el acceso a sus datos.
«El equipo detrás de SOVA ha demostrado un nuevo nivel de sofisticación», dice. «El conjunto de funciones es bastante exclusivo de la escena de los troyanos bancarios de Android, y SOVA es uno de los troyanos bancarios de Android más ricos en funciones disponibles».
Sin embargo, señala que el equipo detrás de SOVA optó por implementar RetroFit para C2 en lugar de escribir su propia solución.
«Esto podría hablar de algunas limitaciones en el equipo de desarrollo», dice Cline.
Los troyanos bancarios se potencian gracias a las capacidades añadidas
Otros troyanos bancarios también han resurgido con características actualizadas para ayudar a sortear la seguridad, incluido Emotet, que resurgió a principios de este verano en una forma más avanzada después de haber sido eliminado por un grupo de trabajo internacional conjunto en enero de 2021.
Joseph Carson, científico jefe de seguridad y CISO asesor de Delinea, dice que mejorar y evolucionar los troyanos bancarios de Android existentes tiene muchas ventajas.
“Las mejoras significativas de SOVA v4 y SOVA v5 muestran que los atacantes pueden simplemente expandir las funciones existentes, como el ladrón de cookies, que ahora incluye más servicios de pago y aplicaciones para explotar”, señala. «Los nuevos módulos, como los que apuntan a las criptobilleteras, demuestran que los atacantes ven las criptomonedas como un objetivo lucrativo».
Explica que agregar capacidades de ransomware puede tener múltiples ventajas para los atacantes, como destruir evidencia. Eso dificulta que el análisis forense digital descubra cualquier rastro o atribución del atacante, y le da al atacante una opción adicional para recibir un pago cuando el robo de credenciales o cookies no tiene éxito.
«A medida que se adopten nuevos servicios de Internet específicamente en la industria financiera», dice Carson, «los atacantes deberán seguir actualizando los troyanos bancarios con nuevos módulos como cualquier otra compañía de software para mantener la compatibilidad con las tecnologías más nuevas».