研究人員表示,，一種名為SOVA（俄語(yǔ)為“貓頭鷹”）的新型Android銀行木馬正在積極開(kāi)發(fā)中,，即使在起步階段,，它也表現(xiàn)的野心勃勃,。該惡意軟件希望將分布式拒絕服務(wù)（DDoS）、中間人（MiTM）和RANSOMSORT功能整合到其武器庫(kù)中——在現(xiàn)有的銀行覆蓋,、通知操作和鍵盤(pán)記錄服務(wù)之上,。

　　據(jù)ThreatFabric的研究人員稱(chēng),，該惡意軟件的作者正在為這個(gè)目標(biāo)持續(xù)努力,。

　　他們?cè)谥芪宓囊环莘治鰣?bào)告中表示：“這種惡意軟件仍處于起步階段（首次出現(xiàn)在8月,，現(xiàn)在只更新到第2版），并且它正在經(jīng)歷一個(gè)測(cè)試階段……正在為不久的將來(lái)制定令人擔(dān)憂(yōu)的計(jì)劃,?！彼麄冞€指出，該惡意軟件的路線(xiàn)圖在地下論壇帖子中列出,，宣傳其可用于測(cè)試,。

　　“SOVA正在……從傳統(tǒng)的桌面惡意軟件中汲取靈感?！薄鞍―DoS、中間人和勒索軟件在內(nèi),，除了覆蓋和鍵盤(pán)記錄攻擊所帶來(lái)的已經(jīng)非常危險(xiǎn)的威脅之外,，還可能對(duì)最終用戶(hù)造成難以挽回的損害?！?/p>

　　分析顯示,，惡意軟件作者的編碼和開(kāi)發(fā)選擇也說(shuō)明了SOVA的復(fù)雜性。

　　ThreatFabric表示：“在開(kāi)發(fā)方面,，SOVA還因完全在Kotlin環(huán)境中開(kāi)發(fā)而脫穎而出,，Kotlin是Android支持的一種編碼語(yǔ)言，被許多人認(rèn)為是Android開(kāi)發(fā)的未來(lái),?！薄叭绻髡邔?duì)未來(lái)功能的承諾得到遵守，SOVA可能成為迄今為止在Kotlin中完全開(kāi)發(fā)的最完整和最先進(jìn)的Android機(jī)器人,?！?/p>

　　與此同時(shí)，SOVA依賴(lài)于稱(chēng)為RetroFit的合法開(kāi)源項(xiàng)目與命令和控制（C2）服務(wù)器進(jìn)行通信,。

　　研究人員說(shuō)：“Retrofit是Square開(kāi)發(fā)的適用于Android,、Java和Kotlin的類(lèi)型安全REST客戶(hù)端?！薄霸搸?kù)提供了一個(gè)強(qiáng)大的框架,，用于對(duì)API進(jìn)行身份驗(yàn)證和交互，以及使用OkHttp發(fā)送網(wǎng)絡(luò)請(qǐng)求?！?/p>

　　銀行木馬特點(diǎn)

　　研究人員指出,，SOVA首先是一種銀行木馬，其作者也在將創(chuàng)新應(yīng)用于其開(kāi)發(fā)的這一部分,。例如,，SOVA并沒(méi)有忽略覆蓋攻擊的更傳統(tǒng)的銀行業(yè)務(wù)。

　　Overlay攻擊是銀行木馬使用的一種常見(jiàn)策略,，其中惡意軟件將用戶(hù)登錄手機(jī)銀行時(shí)看到的屏幕替換為仿制的屏幕——從而獲取受害者輸入的任何憑據(jù),。

　　在SOVA的案例中，它能夠模仿的目標(biāo)包括需要信用卡訪(fǎng)問(wèn)才能操作的銀行應(yīng)用程序,、加密貨幣錢(qián)包和購(gòu)物應(yīng)用程序,。

　　研究人員指出：“根據(jù)作者的說(shuō)法，美國(guó)和西班牙的不同銀行機(jī)構(gòu)已經(jīng)有多種疊加可供選擇,，但它們提供了在買(mǎi)方有需要的情況下創(chuàng)造更多疊加的可能性,。”此外,，第二版包含針對(duì)某些俄羅斯銀行用戶(hù)的功能——這引起了其他論壇用戶(hù)的憤怒,。

　　為了更好地收集受害者的憑據(jù)和其他個(gè)人身份信息（PII），SOVA正在利用Android的無(wú)障礙服務(wù)——這也是一項(xiàng)傳統(tǒng)功能,。

　　研究人員解釋說(shuō)：“當(dāng)它第一次啟動(dòng)時(shí),，惡意軟件會(huì)隱藏其應(yīng)用程序圖標(biāo)并濫用無(wú)障礙服務(wù)以獲得所有必要的權(quán)限以正常運(yùn)行?！逼渲幸恍?quán)限允許它攔截SMS消息和通知,，例如，更好地躲避受害者,，并且在路線(xiàn)圖上還有規(guī)避雙因素身份驗(yàn)證的能力,。

　　根據(jù)分析，SOVA已經(jīng)擁有一項(xiàng)非常罕見(jiàn)的銀行木馬功能,，這在Android惡意軟件中非常突出：竊取會(huì)話(huà)cookie的能力,，這允許惡意軟件搭載有效登錄的銀行會(huì)話(huà)，從而避免了需要銀行憑據(jù)才能訪(fǎng)問(wèn)受害者賬戶(hù)的情況,。

　　研究人員指出：“Cookie是網(wǎng)絡(luò)功能的重要組成部分,，它允許用戶(hù)在瀏覽器上保持打開(kāi)的會(huì)話(huà)，而無(wú)需反復(fù)重新輸入其憑據(jù),?！薄癝OVA將創(chuàng)建一個(gè)WebView來(lái)為目標(biāo)應(yīng)用程序打開(kāi)一個(gè)合法的Web URL，并在受害者成功登錄后竊取cookie……它能夠輕松地從Gmail或PayPal等主要網(wǎng)站竊取會(huì)話(huà)cookie,?！?/p>

　　在較新版本的SOVA中,，網(wǎng)絡(luò)騙子還添加了創(chuàng)建應(yīng)用程序列表的選項(xiàng)，以便自動(dòng)監(jiān)控cookie,。

　　ThreatFabric解釋說(shuō),，第2版提供的另一個(gè)功能是剪貼板操作，即更改系統(tǒng)剪貼板中的數(shù)據(jù)以竊取加密貨幣的能力,。

　　研究人員說(shuō)：“機(jī)器人設(shè)置了一個(gè)事件偵聽(tīng)器,，旨在在剪貼板中保存一些新數(shù)據(jù)時(shí)通知惡意軟件?！薄叭绻麛?shù)據(jù)串可能是加密貨幣錢(qián)包地址,，SOVA會(huì)用相應(yīng)加密貨幣的有效地址替換它?！?/p>

　　目前支持的加密貨幣是Binance,、比特幣、以太坊和TRON,。

　　SOVA的作者在路線(xiàn)圖上仍處于領(lǐng)先地位,，他們表示他們將很快添加“自動(dòng)三階段疊加諸如”。

　　研究人員指出：“尚不清楚這三個(gè)階段意味著什么,，但它可能意味著更多的進(jìn)步和更現(xiàn)實(shí)的過(guò)程,，可能意味著向設(shè)備下載更多的軟件?！?/p>

　　SOVA：深思熟慮的發(fā)展路線(xiàn)圖

　　研究人員總結(jié)說(shuō),，惡意軟件的作者顯然對(duì)SOVA的未來(lái)抱有很大的野心，它確實(shí)有可能成為Android生態(tài)系統(tǒng)的危險(xiǎn)威脅,。

　　“在未來(lái)的開(kāi)發(fā)中添加的第二組功能非常先進(jìn)，并將推動(dòng)SOVA進(jìn)入Android銀行惡意軟件的不同領(lǐng)域,?！薄叭绻髡邎?jiān)持路線(xiàn)圖，它還將能夠具有……DDoS功能,、勒索軟件和高級(jí)覆蓋攻擊,。這些功能將使SOVA成為市場(chǎng)上功能最豐富的Android惡意軟件，并可能成為針對(duì)金融機(jī)構(gòu)的Android銀行木馬的‘新規(guī)范’,?！?/p>

　　在某些方面，SOVA可能會(huì)步TrickBot的后塵,，TrickBot是一種多平臺(tái)惡意軟件,，最初是一種銀行木馬，然后轉(zhuǎn)向其他類(lèi)型的網(wǎng)絡(luò)攻擊,，并成為全球不法分子使用的最流行和最普遍的木馬之一,。它現(xiàn)在專(zhuān)門(mén)充當(dāng)?shù)谝浑A段感染,，提供一系列后續(xù)勒索軟件和其他惡意軟件。

　　有趣的是,，TrickBot的作者最近對(duì)代碼進(jìn)行了一些更改,，這可能表明TrickBot正在重返銀行欺詐游戲——特別是添加了一種瀏覽器人（MitB）功能，用于竊取源自Zeus的在線(xiàn)銀行憑證,，早期的Zeus銀行木馬可能預(yù)示著欺詐攻擊即將到來(lái),。