Un malware Android è stato di recente scoperto dai ricercatori della società di sicurezza informatica ThreatFabric: soprannominato SOVA (la parola significa “gufo” in lingua russa), il nuovo trojan bancario sarebbe dotato di una miriade di funzionalità che potrebbero consentire agli attaccanti di sottrarre informazioni d’identificazione personale (PII) dai dispositivi infetti, comprese le credenziali bancarie, rubare cookie di sessione attraverso attacchi overlay, manipolare gli appunti per inserire indirizzi di portafogli di criptovaluta (come Bitcoin, Ethereum, Binance coin e TRON) e, infine, spiare le vittime sfruttando la funzione di keylogging.
SOVA: progetto in fase di sviluppo
Il progetto per il futuro sviluppo di SOVA prevederebbe di eseguire attacchi DDoS, MitM (Man in the Middle), ransomware e persino intercettare codici di autenticazione 2FA.
In particolare, SOVA potrebbe consentire ai criminal hacker di sferrare attacchi overlay per il furto di informazioni riservate dell’utente tramite la sovrapposizione di false pagine Web di landing su quelle legittime.
Inoltre, grazie al furto di cookie di sessione validi, SOVA può consentire ai criminali di prendere il controllo degli account degli utenti senza la necessità di conoscere le relative credenziali.
Sebbene, secondo i ricercatori, il malware sia nelle sue prime fasi di sviluppo, i creatori di SOVA hanno pubblicizzato il prodotto sui forum di hacking, cercando di reclutare tester per provare le sue capacità su un gran numero di dispositivi.
“È ancora un progetto agli inizi e ora fornisce le stesse funzionalità di base della maggior parte degli altri moderni malware bancari per Android”, si legge nel rapporto ThreatFabric, “tuttavia, l’autore dietro questo bot ha chiaramente grandi aspettative per il suo prodotto e questo è dimostrato dalla dedizione nel testare SOVA con terze parti, nonché dalla roadmap delle funzionalità esplicite del malware”.
SOVA: funzionalità presenti e future
Come la maggior parte dei trojan bancari, SOVA abusa dei servizi di accessibilità per ottenere tutte le autorizzazioni necessarie per funzionare correttamente.
Come pubblicizzato dai suoi autori, tali funzionalità includono principalmente:
- overlay e cookie injection;
- overlay e iniezione di cookie tramite notifica push;
- esecuzione dell’USSD;
- sovrapposizioni di carte di credito con controllo di validità;
- intercettazione nascosta per SMS;
- intercettazione nascosta per le notifiche;
- keylogging;
- disinstallazione delle app;
- resilienza dalla disinstallazione da parte delle vittime.
Ma la roadmap dettagliata delle funzionalità da includere nelle versioni future includerebbe ulteriori sviluppi:
- iniezioni automatiche di sovrapposizione a 3 fasi;
- iniezioni automatiche di cookies;
- manipolazione degli appunti;
- DDoS;
- ransomware;
- MitM (Man in the Middle);
- VNC;
- intercettazione codici doppia autenticazione 2FA.
Le caratteristiche peculiari del malware
Ecco alcune delle caratteristiche peculiari del malware SOVA, sostanzialmente un bot completamente implementato in Kotlin, un linguaggio di codifica supportato da Android e che lo renderebbe tra i più completi e avanzati nel suo genere:
Attacco OVERLAY a 3 stadi
Come la maggior parte dei trojan bancari Android, SOVA si affida agli attacchi Overlay per rubare le informazioni personali delle sue vittime abusando dei servizi di accessibilità.
Quando l’utente tenta di accedere a un’applicazione bancaria tra quelle previste, il malware visualizzerà un overlay di una falsa pagina di landing.
In merito alla cosiddetta sovrapposizione a 3 stadi, non sarebbe, secondo i ricercatori, ancora chiaro cosa implicherebbero le 3 fasi. Probabilmente più processi con un eventuale download di software aggiuntivo sul dispositivo.
Ladro di sessioni cookie tramite WebView
Un’altra sua caratteristica non comune negli altri malware Android, sarebbe la capacità di rubare i cookie, che come noto consentono agli utenti di mantenere sessioni aperte sui propri browser senza dover reinserire ripetutamente le proprie credenziali.
Un malintenzionato in possesso di un cookie di sessione valido potrebbe avere accesso alla sessione web della vittima che ha effettuato l’accesso.
In particolare, il rapporto spiega come SOVA tramite una WebView sarebbe in grado di aprire un URL Web legittimo per l’applicazione di destinazione, rubando i cookie una volta che la vittima ha effettuato l’accesso con successo.
ThreatFabric ha confermato che SOVA sarebbe in grado di carpire facilmente i cookie di sessione dai siti Web Gmail e PayPal.
Comunicazione con il server C2
SOVA si affida, per la comunicazione con il proprio server C2, al progetto open source RetroFit, la cui libreria fornisce un potente framework per l’autenticazione, l’interazione API e l’invio di richieste di rete.
Al riguardo, ThreatFabric chiarisce in una nota che RetroFit “è un prodotto legittimo e legale. Gli sviluppatori che hanno creato questo progetto non hanno alcun controllo sull’uso improprio del loro software”.
SOVA: i paesi interessati dalla minaccia
Attualmente, ThreatFabric, ma la situazione è in evoluzione, avrebbe identificato cinque campioni di SOVA allo stato brado, con un totale di tre diverse versioni del malware e sebbene gli sviluppatori, avrebbero affermato che sarebbero già disponibili più overlay per diversi istituti bancari presenti negli USA e in Spagna, la ricerca mostrerebbe tra i principali paesi nel mirino anche l’Italia.
Conclusioni
Senza dubbio gli autori del malware SOVA presentano grosse ambizioni al riguardo, puntando alla realizzazione di una nuova entità software malevola molto pericolosa per l’intero ecosistema bancario Android.
Non a caso il nome scelto dallo stesso attore della minaccia vuole rimarcare la natura stessa del malware che come un rapace notturno, risulta silenzioso e efficiente nell’inseguire e catturare le proprie prede.
Come sottolineato dai ricercatori, qualora il progetto definitivo andasse in porto secondo la roadmap preventivata, tutte queste caratteristiche renderebbero SOVA il malware Android più ricco di funzionalità sul mercato del crimine informatico e potrebbero diventare un nuovo modello da seguire per la nuova generazione dei trojan bancari Android.
Risulta quanto mai fondamentale la collaborazione e la condivisione proattiva di conoscenze e informazioni per affrontare la minaccia, sempre più crescente nel settore finanziario, dei malware versione mobile.
