安全企业Cleafy上周披露,Android金融木马Sova不断地进化,他们已在尚未发布的Sova v5中发现了嵌入勒索软件功能的设计。
Sova出现在2021年的9月,问世迄今尚未满一年,但Sova作者在发布该金融木马时,就规划了它可能具备的12种功能,在今年7月以前的版本即具备拦截双因素认证、窃取Cookie或注入其它程序代码等能力。
第一个Sova版本仅锁定不到90个品牌,但7月发布的Sova v4不仅可伪装成超过200种移动程序,涵盖金融程序与加密货币交易中心/钱包,而且具备多项新功能。例如从Sova v4开始,黑客即可获得受害设备的屏幕截屏,以取得更多资讯;此外,它纳入了更广泛的Google服务作为攻击对象,包括Gmail、GPay,甚至是Google Password Manager;并嵌入保护模块,以避免它遭到用户移除;另有一个专为币安交易中心与币安官方钱包Trust Wallet所设计的专用模块。
当Cleafy在检查Sova v4的文件时,意外发现了属于Sova v5的多个范例,而它嵌入了勒索软件模块,意味着该金融木马程序未来将企图加密Android设备上的文件并向用户勒索。
Cleafy认为,这是一个非常有趣的功能,因为勒索软件功能在Android金融木马程序领域并不常见,而这很可能是因为近年来移动设备已经成为人们存放重要个人资料与企业资料的重心,尽管Sova v5还在开发中,但应严阵以待。