據(jù)infosecurity消息，肆虐Android平臺的銀行木馬 SOVA 卷土重來，和之前相比增加了更多的新功能，甚至還有可能進行勒索攻擊。8月11日，安全公司 Cleafy 對SOVA木馬進行細致調(diào)查，并以報告的形式分享了調(diào)查結(jié)果。

報告指出，2021年9月，SOVA首次被安全人員發(fā)現(xiàn)，當時其開發(fā)人員在暗網(wǎng)上發(fā)布了未來更新的路線圖，并聲稱正在進入市場。在接下來的幾個月里，Cleafy 公司還發(fā)現(xiàn)了SOVA的各種迭代版本，實現(xiàn)了更新路線圖中提到的某些功能。其中包括雙因素身份驗證 (2FA) 攔截、cookie 竊取和針對新目標和國家（例如多家菲律賓銀行）的注入。

根據(jù)報告，SOVA將分布式拒絕服務(wù)（DDoS）、中間人（MiTM）和 RANSOMSORT 功能整合到其武器庫中——在現(xiàn)有的銀行覆蓋、通知操作和鍵盤記錄服務(wù)之上。SOVA還可以模仿的目標包括需要信用卡訪問才能操作的銀行應(yīng)用程序、加密貨幣錢包和購物應(yīng)用程序。

2022年7月，Cleafy公司發(fā)現(xiàn)了SOVA (V4)版本，并在其最新的公告中進行詳細說明，針對的目標應(yīng)用APP也從2021年的90個增加至200個，包括銀行應(yīng)用程序和加密貨幣交易所/錢包。

Cleafy 公司在報告中表示，“SOVA最有趣的部分與虛擬網(wǎng)絡(luò)計算功能有關(guān)，自 2021 年 9 月以來，此功能一直在 SOVA 路線圖中，這是攻擊者不斷更新惡意軟件新功能的一個有力證據(jù)。”

此外，SOVA的最新版本還可以從受感染的設(shè)備中獲取屏幕截圖、記錄和執(zhí)行手勢以及管理多個命令。在 SOVA V4版本，cookie 竊取機制被進一步重構(gòu)和改進，以指定目標 Google 服務(wù)的綜合列表以及其他應(yīng)用程序列表。而更新后的惡意軟件可以通過攔截那些卸載應(yīng)用程序的操作來保護自己。

值得注意的是，Cleafy聲稱發(fā)現(xiàn)了 SOVA 的新版本（V5），對于代碼進行了重構(gòu)，添加了一些新功能，與命令/控制 (C2) 服務(wù)器之間通信的一些小變化。雖然SOVA V5 缺少 VNC 模塊，但它具有勒索軟件功能，這在移動端中較為罕見。