SOWA: rosyjski trojan bankowy wydostał się z Darkwebu

13 września, 2021

W sieci Tor pojawiła się oferta zachęcająca do „testowania” nowego trojana bankowego S.O.V.A – nazwa została zapożyczona od rosyjskiego słowa сова, oznaczającego sowę. Trojan całymi garściami korzysta z otwartego kodu niektórych ze swoich komponentów, a pochodzenie złośliwego kodu przypisuje się autorowi z Rosji. Zdaniem firmy Threat Fabric, która szczegółowo przeanalizowała pierwsze próbki szkodnika, w chwili obecnej jego autor reklamuje drugą wersją, ulepszoną o nowe funkcjonalności.

sowa probka sprzedazy trojana bankowego
Oferta testowania trojana dla systemu Android od wersji 5 Lollipop do 11 Red Velvet Cake.

Sowa zagraża użytkownikom Androida poprzez techniki popularne w złośliwym oprogramowaniu. Otóż w pierwszej kolejności są to tzw. nakładki na uruchomioną aplikację bankową – malware „wyrzuca” na pierwszy ekran podstawiany przez „sowę” panel logowania do banku. W drugiej kolejności „ptak” potrafi zapisywać operatorowi serwera kontrolno-zarządzającego wprowadzone znaki podczas logowania (funkcja keyloggingu).

sowa nakladka trojana
Po zainstalowaniu trojan SOWA wyświetla tzw. overlay dla aplikacji bankowej albo innego systemu płatności, który potrafi wykryć i obsłużyć.

Na końcu trojan może manipulować powiadomieniami od prawdziwego banku np. wysyłać i odczytywać SMS-y w imieniu użytkownika. Oprogramowanie jest dobrze zabezpieczone przed usunięciem, a jego kolejne wersje (zapowiedziane przez autora) będą dysponowały całkiem pokaźnym arsenałem przypominającym połączenie trojana z botem.

Pierwsza wersja szkodnika wyróżnia się modułem kradzieży plików sesyjnych cookie, która nie jest tak powszechna w złośliwym oprogramowaniu na Androida. Funkcjonalność ów umożliwia przestępcy uzyskanie dostępu do ważnych zalogowanych sesji użytkownika bez konieczności znajomości danych uwierzytelniających do banku.

Wersja v2 trojana SOVA

Autor publicznie reklamuje możliwość wypróbowania oprogramowania napisanego głownie pod banki w Hiszpanii oraz USA. Kolejna wersja trojana będzie zawierać możliwość przeprowadzania ataków DDoS, MiTM oraz infekcję ransomware. Wszystkie razem oprócz nakładki oraz keyloggera i tak już stwarzają niemałe zagrożenie dla nietechnicznych użytkowników.

sowa schemat rozwoju aplikacji
Funkcje trojana oraz plany na przyszłość.

Autor (albo autorzy) złośliwego kodu podchodzą do swojego przedsięwzięcia nietypowo, ale rozsądnie i rozwojowo dla oprogramowania cyberprzestępczego. Powszechnie dobrą praktyką jest udostępniać legalne oprogramowanie do testowania, a dzięki informacjom zwrotnym poprawiać zgłoszone przez użytkowników błędy. W świecie cyberprzestępczym nie jest to rutyną. Zamiast tego częściej spotyka się gotowe rozwiązania, które nie zawsze są przetestowane, a mimo z uwagi na chęć osiągnięcia szybkiego zysku są sprzedawane.

SOWA może być jednym z najbardziej zaawansowanych botów łączącym szkodliwe oprogramowanie do atakowania sesji bankowej. Zachowanie autora postu na forum wskazuje, że ma on duże ambicje dotyczące tego konkretnego szkodliwego oprogramowania. W następnej wersji zapowiedział stworzenie m.in. manipulacji schowkiem, czyli podmianę ciągów znaków, którym może być skopiowany numer bankowy lub portfel kryptowaluty (taki ciąg znaków będzie zastąpiony ciągiem wskazanym przez cyberprzestępcę). Funkcje ransomware, a także VNC znacząco usprawnią arsenał trojana. Dodatkowo bardzo groźnym zjawiskiem będzie przechwytywanie kodów z uwierzytelniania dwuskładnikowego (2FA), a to już nie są przelewki. Obecnie takie techniki są bardzo rzadko stosowane przez złośliwe oprogramowanie, nie tylko na urządzenia z Androidem.

Czy ten artykuł był pomocny?

Oceniono: 1 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]