Di cosa si tratta?
All’inizio di agosto 2021, i ricercatori di ThreatFabric si sono imbattuti in un nuovo trojan bancario Android. Sulla base del pannello di accesso del server C2, hanno potuto apprendere che è stato chiamato SOVA dai suoi stessi creatori.
Sova è la parola russa per gufo. Questo nome è stato scelto dallo stesso attore della minaccia forse a causa della natura del gufo come rapace notturno, silenzioso ma efficiente nell’inseguire e catturare le sue vittime. Questo identifica un trojan bancario Android completamente nuovo, al meglio delle nostre conoscenze. Il trojan è attualmente in fase di sviluppo e test e ha l’obiettivo di aggiungere ai suoi meccanismi di overlay e keylogging, altre funzionalità altamente pericolose come DDoS e Ransomware nelle versioni future. Ci sono alcuni aspetti interessanti che differenziano questo trojan da quelli già esistenti, sia nelle funzionalità che nello sviluppo.
Come funziona?
Attualmente, ThreatFabric ha identificato tre campioni di SOVA in natura. Le prime due sono una delle versioni originali e offuscate della prima iterazione del malware e l’ultima è la versione più recente, con alcuni nuovi comandi e funzionalità.
Lo screenshot seguente contiene la pagina VirusTotal per la versione offuscata e compatta di SOVA.
La stringa evidenziata, sotto l’hash del file, è il nome con cui il file è stato caricato su VirusTotal. Il nome del file è “vormastor test crypted.apk”.
Secondo gli autori, esistono già più overlay disponibili per diversi istituti bancari degli USA e della Spagna , ma offrono la possibilità di crearne altri in caso di necessità da parte dell’acquirente.
Comandi
L’obiettivo principale del SOVA è raccogliere le PII della vittima.
SOVA fa del suo meglio per non farsi scoprire. Per raggiungere questo obiettivo, SOVA abusa della meccanica di sovrapposizione per indurre le vittime a rivelare le loro password e altre importanti informazioni private. In un attacco overlay, gli utenti digitano le proprie credenziali in quella che pensano sia un’app bancaria legittima, fornendole effettivamente a una pagina controllata dall’attaccante. SOVA ha anche la possibilità di rubare i cookie di sessione dal dispositivo. Questa funzione non è inaudita, ma sicuramente non è comune sui moderni trojan Android.
Le funzionalità del bot, come pubblicizzato dai suoi autori, includono:
- Ruba i dati del dispositivo.
- Inviare SMS.
- Overlay e Cookie injection.
- Overlay e iniezione di cookie tramite notifica push.
- Esecuzione dell’USSD.
- Sovrapposizioni di carte di credito con controllo di validità.
- Intercettazione nascosta per SMS.
- Intercettazione nascosta per le notifiche.
- Registratore di tasti.
- Disinstallazione dell’app.
- Resilienza dalla disinstallazione da parte delle vittime.
Le funzionalità offerte da SOVA sono in linea con lo standard per il malware Android che siamo abituati a vedere nel 2021. Tuttavia, come accennato in precedenza, i criminali dietro questo bot sono molto proattivi e hanno anche rilasciato una roadmap dettagliata delle funzionalità da includere nelle versioni future di SOVA:
- Iniezioni automatiche di sovrapposizione a 3 fasi.
- Iniezioni automatiche di biscotti.
- Manipolazione degli appunti.
- DDoS
- Miglioramento della salute del pannello.
- Ransomware (con overlay per il numero della carta).
- L’uomo nel mezzo (MitM).
- Notifiche push normali.
- Più sovrapposizioni.
- VNC.
- Intercettazione 2FA.
È molto interessante notare come questo gruppo abbia una tabella di marcia per il proprio prodotto, inclusa una fase con i primi utenti per testare il bot e l’infrastruttura. Il secondo set di funzionalità, aggiunto negli sviluppi futuri, è molto avanzato e spingerebbe SOVA in un regno diverso per il malware bancario Android.
Elenco obiettivi
| Nome pacchetto | Nome App |
|---|---|
| com.google.Android.apps.authenticator2 | Google Authenticator |
| com.bankaustria.Android.olb | Bank Austria MobileBanking |
| com.cibc.Android.mobi | CIBC Mobile Banking® |
| com.rbc.mobile.Android | RBC Mobile |
| cz.airbank.Android | My Air |
| com.kutxabank.Android | Kutxabank |
| es.lacaixa.mobile.Android.newwapicon | CaixaBank |
| com.mtel.Androidbea | BEA 東亞銀行 |
| jp.co.aeonbank.Android.passbook | イオン銀行通帳アプリ かんたんログイン&残高・明細の確認 |
| com.barclays.ke.mobile.Android.ui | Barclays Kenya |
| nz.co.anz.Android.mobilebanking | ANZ goMoney New Zealand |
| alior.bankingapp.Android | Usługi Bankowe |
| wit.Android.bcpBankingApp.millenniumPL | Bank Millennium |
| com.idamobile.Android.hcb | Мобильный банк – Хоум Кредит |
| ru.rosbank.Android | ROSBANK Online |
| com.vkontakte.Android | VK — live chatting & free calls |
| ru.taxovichkof.Android | Taxovichkof |
| hr.asseco.Android.jimba.mUCI.ro | Mobile Banking |
| may.maybank.Android | Maybank2u |
| com.amazon.mShop.Android.shopping | Amazon Shopping – Search, Find, Ship, and Save |
| ru.alfabank.mobile.Android | Альфа-Банк (Alfa-Bank) |
| com.idamob.tinkoff.Android | Tinkoff |
| ru.vtb24.mobilebanking.Android | VTB-Online |
| com.akbank.Android.apps.akbank_direkt | Akbank |
| com.akbank.Android.apps.akbank_direkt_tablet | Akbank Direkt Tablet |
| com.akbank.Android.apps.akbank_direkt_tablet_20 | – |
| com.ykb.Android | Yapı Kredi Mobile |
| com.ykb.Android.mobilonay Y | apı Kredi Corporate-For Firms |
| com.ykb.Androidtablet | Yapı Kredi Mobil Şube |
| biz.mobinex.Android.apps.cep_sifrematik | Garanti BBVA Cep Şifrematik |
| com.matriksmobile.Android.ziraatTrader | Ziraat Trader |
| de.comdirect.Android | comdirect mobile App |
| de.fiducia.smartphone.Android.banking.vr | VR Banking Classic |
| fr.creditagricole.Androidapp | Ma Banque |
| com.boursorama.Android.clients | Boursorama Banque |
| com.caisseepargne.Android.mobilebanking | Banque |
| fr.lcl.Android.customerarea | Mes Comptes – LCL |
| com.paypal.Android.p2pmobile | PayPal Mobile Cash: Send and Request Money Fast |
| com.usaa.mobile.Android.usaa | USAA Mobile |
| com.chase.sig.Android | Chase Mobile |
| com.grppl.Android.shell.BOS | Bank of Scotland Mobile Banking: secure on the go |
| com.rbs.mobile.Android.natwestoffshore | NatWest International |
| com.rbs.mobile.Android.natwest | NatWest Mobile Banking |
| com.rbs.mobile.Android.natwestbandc | NatWest Business Banking |
| com.rbs.mobile.Android.rbs | Royal Bank of Scotland Mobile Banking |
| com.rbs.mobile.Android.rbsbandc | RBS Business Banking |
| com.rbs.mobile.Android.ubr | Ulster Bank RI Mobile Banking |
| com.grppl.Android.shell.halifax | Halifax: the banking app that gives you extra |
| com.grppl.Android.shell.CMBlloydsTSB73 | Lloyds Bank Mobile Banking: by your side |
| com.barclays.Android.barclaysmobilebanking | Barclays |
| com.unionbank.ecommerce.mobile.Android | Union Bank Mobile Banking |
| au.com.ingdirect.Android | ING Australia Banking |
| com.cba.Android.netbank | CommBank app for tablet |
| com.anz.Android.gomoney | ANZ Australia |
| com.anz.Android | ANZ Mobile Taiwan |
| de.fiducia.smartphone.Android.banking.vr | VR Banking Classic |
| it.volksbank.Android | Volksbank · Banca Popolare |
| de.fiducia.smartphone.Android.securego.vr | VR-SecureGo |
| com.starfinanz.smob.Android.sfinanzstatus | Sparkasse Ihre mobile Filiale |
| com.starfinanz.mobile.Android.pushtan | S-pushTAN |
| com.starfinanz.smob.Android.sfinanzstatus.tablet | Sparkasse fürs Tablet |
| com.starfinanz.smob.Android.sbanking | Sparkasse+ Finanzen im Griff |
| com.palatine.Android.mobilebanking.prod | ePalatine Particuliers |
| es.cm.Android | Bankia |
| es.cm.Android.tablet | Bankia Tablet |
| com.bestbuy.Android | Best Buy |
| com.latuabancaperAndroid | Intesa Sanpaolo Mobile |
| com.latuabanca_tabperAndroid | La tua banca per Tablet |
| it.copergmps.rt.pf.Android.sp.bmps | Banca MPS |
| com.ykb.Android | Yapı Kredi Mobile |
| aib.ibank.Android | AIB Mobile |
| com.jpm.sig.Android | J.P. Morgan Mobile |
| pinacleMobileiPhoneApp.Android | PINACLE® |
| com.fuib.Android.spot.online | PUMB Online |
| com.ukrsibbank.client.Android | UKRSIB online |
| ru.alfabank.mobile.ua.Android | Alfa-Mobile Ukraine |
| ua.aval.dbo.client.Android | Raiffeisen Online Ukraine |
| ua.com.cs.ifobs.mobile.Android.otp | OTP Smart |
| ua.com.cs.ifobs.mobile.Android.pivd | Pivdenny MyBank |
| io.getdelta.Android | Delta – Bitcoin & Cryptocurrency Portfolio Tracker |
| com.coinbase.Android | Coinbase – Buy & Sell Bitcoin. Crypto Wallet |
| piuk.blockchain.Android | Blockchain Wallet. Bitcoin, Bitcoin Cash, Ethereum |
| com.thunkable.Android.santoshmehta364.UNOCOIN_LIVE | UNOCOIN LIVE |
| com.thunkable.Android.manirana54.LocalBitCoins | LocalBitCoins |
| com.thunkable.Android.manirana54.LocalBitCoins_unblock | UNBLOCK Local BitCoins |
| com.citizensbank.Androidapp | Citizens Bank Mobile Banking |
| com.navyfederal.Android | Navy Federal Credit Union |
