Android 特洛伊木马

研究人员表示，一种名为SOVA（俄语为“猫头鹰”）的新型Android银行木马正在积极开发中，即使在起步阶段，它也表现的野心勃勃。该恶意软件希望将分布式拒绝服务（DDoS）、中间人（MiTM）和RANSOMSORT功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。

据ThreatFabric的研究人员称，该恶意软件的作者正在为这个目标持续努力。

他们在周五的一份分析报告中表示：“这种恶意软件仍处于起步阶段（首次出现在8月，现在只更新到第2版），并且它正在经历一个测试阶段……正在为不久的将来制定令人担忧的计划。”他们还指出，该恶意软件的路线图在地下论坛帖子中列出，宣传其可用于测试。

“SOVA正在……从传统的桌面恶意软件中汲取灵感。”“包括DDoS、中间人和勒索软件在内，除了覆盖和键盘记录攻击所带来的已经非常危险的威胁之外，还可能对最终用户造成难以挽回的损害。”

分析显示，恶意软件作者的编码和开发选择也说明了SOVA的复杂性。

ThreatFabric表示：“在开发方面，SOVA还因完全在Kotlin环境中开发而脱颖而出，Kotlin是Android支持的一种编码语言，被许多人认为是Android开发的未来。”“如果作者对未来功能的承诺得到遵守，SOVA可能成为迄今为止在Kotlin中完全开发的最完整和最先进的Android机器人。”

与此同时，SOVA依赖于称为RetroFit的合法开源项目与命令和控制（C2）服务器进行通信。

研究人员说：“Retrofit是Square开发的适用于Android、Java和Kotlin的类型安全REST客户端。”“该库提供了一个强大的框架，用于对API进行身份验证和交互，以及使用OkHttp发送网络请求。”

银行木马特点

研究人员指出，SOVA首先是一种银行木马，其作者也在将创新应用于其开发的这一部分。例如，SOVA并没有忽略覆盖攻击的更传统的银行业务。

Overlay攻击是银行木马使用的一种常见策略，其中恶意软件将用户登录手机银行时看到的屏幕替换为仿制的屏幕——从而获取受害者输入的任何凭据。

在SOVA的案例中，它能够模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。

研究人员指出：“根据作者的说法，美国和西班牙的不同银行机构已经有多种叠加可供选择，但它们提供了在买方有需要的情况下创造更多叠加的可能性。”此外，第二版包含针对某些俄罗斯银行用户的功能——这引起了其他论坛用户的愤怒。

为了更好地收集受害者的凭据和其他个人身份信息（PII），SOVA正在利用Android的无障碍服务——这也是一项传统功能。

研究人员解释说：“当它第一次启动时，恶意软件会隐藏其应用程序图标并滥用无障碍服务以获得所有必要的权限以正常运行。”其中一些权限允许它拦截SMS消息和通知，例如，更好地躲避受害者，并且在路线图上还有规避双因素身份验证的能力。

根据分析，SOVA已经拥有一项非常罕见的银行木马功能，这在Android恶意软件中非常突出：窃取会话cookie的能力，这允许恶意软件搭载有效登录的银行会话，从而避免了需要银行凭据才能访问受害者账户的情况。

研究人员指出：“Cookie是网络功能的重要组成部分，它允许用户在浏览器上保持打开的会话，而无需反复重新输入其凭据。”“SOVA将创建一个WebView来为目标应用程序打开一个合法的Web URL，并在受害者成功登录后窃取cookie……它能够轻松地从Gmail或PayPal等主要网站窃取会话cookie。”

在较新版本的SOVA中，网络骗子还添加了创建应用程序列表的选项，以便自动监控cookie。

ThreatFabric解释说，第2版提供的另一个功能是剪贴板操作，即更改系统剪贴板中的数据以窃取加密货币的能力。

研究人员说：“机器人设置了一个事件侦听器，旨在在剪贴板中保存一些新数据时通知恶意软件。”“如果数据串可能是加密货币钱包地址，SOVA会用相应加密货币的有效地址替换它。”

目前支持的加密货币是Binance、比特币、以太坊和TRON。

SOVA的作者在路线图上仍处于领先地位，他们表示他们将很快添加“自动三阶段叠加诸如”。

研究人员指出：“尚不清楚这三个阶段意味着什么，但它可能意味着更多的进步和更现实的过程，可能意味着向设备下载更多的软件。”

SOVA：深思熟虑的发展路线图

研究人员总结说，恶意软件的作者显然对SOVA的未来抱有很大的野心，它确实有可能成为Android生态系统的危险威胁。

“在未来的开发中添加的第二组功能非常先进，并将推动SOVA进入Android银行恶意软件的不同领域。”“如果作者坚持路线图，它还将能够具有……DDoS功能、勒索软件和高级覆盖攻击。这些功能将使SOVA成为市场上功能最丰富的Android恶意软件，并可能成为针对金融机构的Android银行木马的‘新规范’。”

在某些方面，SOVA可能会步TrickBot的后尘，TrickBot是一种多平台恶意软件，最初是一种银行木马，然后转向其他类型的网络攻击，并成为全球不法分子使用的最流行和最普遍的木马之一。它现在专门充当第一阶段感染，提供一系列后续勒索软件和其他恶意软件。

有趣的是，TrickBot的作者最近对代码进行了一些更改，这可能表明TrickBot正在重返银行欺诈游戏——特别是添加了一种浏览器人（MitB）功能，用于窃取源自Zeus的在线银行凭证，早期的Zeus银行木马可能预示着欺诈攻击即将到来。