FreeBuf - 瘋狂的SOVA：Android銀行木馬「新標杆」－鑽石舞台

2021年8月初，一款針對Android銀行APP的惡意軟件出現在人們的視野中，ThreatFabric 安全研究人員首次發現了這一木馬，在其C2服務器的登錄面板，研究人員發現，攻擊者將其稱之為SOVA。

SOVA簡介

在俄語中，SOVA譯為貓頭鷹，或許是攻擊者期望該惡意軟件如同貓頭鷹一般，成為夜間的優秀捕食者。研究人員確認這是一個全新的Android銀行木馬，且被發現時正處於開發和測試階段。

與之同時，研究人員還發現，攻擊者已經為其未來可實現的功能建立了清晰的路線圖。隨後幾個月的時間裡，SOVA陸續更新了多個版本，真的實現了其更新路線圖中提到的諸多功能，包括雙因素身份驗證 (2FA) 攔截、cookie 竊取和針對新目標、國家（例如多家菲律賓銀行）的注入等。

【SOVA 路線圖（2021 年 9 月）】

很明顯，SOVA表現出想要「大幹一場」的強烈意願，這也是其在初始階段就進行分發的原因之一。該惡意軟件希望將分布式拒絕服務（DDoS）、中間人（MiTM）和RANSOMSORT功能整合到其武器庫中——在現有的銀行覆蓋、通知操作和鍵盤記錄服務之上，足以給目標用戶造成難以置信的傷害。它還有一個其他Android 惡意軟件中不常見的功能：竊取會話cookie，這意味着犯罪分子無需知道銀行憑據即可訪問用戶的有效登錄會話，這也是很多銀行APP感到非常頭痛的地方。

此外，SOVA 以完全使用 Kotlin 開發而著稱，Kotlin 是一種 Android 支持的編碼語言，被許多人認為是 Android 開發的未來。如果作者對未來功能的承諾保持不變，那麼 SOVA 可能會成為迄今為止在 Kotlin 中完全開發的最完整、最先進的 Android 惡意軟件。

在迭代了V2和V3版本後，SOVA在一段時間內陷入了「沉睡」狀態，但卻在2022年5月再次被研究人員監測到處於活躍狀態，並更新至V4版本，針對的目標也從2021年的90個增加至200個，包括銀行應用程序和加密貨幣交易所/錢包。

有意思的是，安全研究人員還發現SOVA還增加了一個令人意想不到的新功能——可對手機等移動端進行數據加密和勒索攻擊。

起底SOVA

1、語境

如下圖所示，該截圖包含了SOVA 混淆和打包版本的 VirusTotal 頁面。在文件哈希下方突出顯示的字符串是文件上傳到 VirusTotal 時使用的名稱，文件名為「Vormastor test crypted.apk」。

根據作者的說法，美國和西班牙的不同銀行機構已經有多種疊加可供選擇，但它們提供了在買方有需要的情況下創造更多疊加的可能性。該惡意軟件未來的版本可能會再次切換到JaVa，以解決其使用混淆軟件的兼容性問題。

2、命令

以下是SOVA常用的命令列表：

3、能力

SOVA 的一大特點是不容易被發現，為了實現這一點，SOVA 濫用覆蓋機制來誘騙受害者泄露他們的密碼和其他重要的私人信息。在覆蓋攻擊中，用戶在他們認為是合法的銀行應用程序中輸入他們的憑據，於是這些信息就交到了攻擊者手中。SOVA 也有可能從設備中竊取會話 cookie，該功能並非第一次出現，但在現代 Android 木馬中絕對不常見，且絕對是攻擊者獲取賬戶憑證的利器。

與大多數銀行木馬一樣，SOVA 嚴重依賴 Accessibility SerVices。首次啟動時，該惡意軟件會隱藏其應用程序圖標，並濫用輔助功能服務來獲取正常運行所需的所有權限。在其更新路線圖中我們還可以看到，該惡意軟件具備躲避雙因素身份驗證的能力。

具體來說，SOVA惡意軟件的主要能力如下：

竊取設備數據

發信息

覆蓋和 Cookie 注入

通過推送通知進行覆蓋和 Cookie 注入

USSD 執行

信用卡覆蓋有效性檢查

SMS的隱藏攔截

通知的隱藏攔截

鍵盤記錄器

卸載應用程序

從受害者卸載中恢復

此外，在其之前發布的路線圖中，研究人員還發現了以下的能力：

自動 3 階段疊加注射

自動 cookie 注入

剪貼板操作

分布式拒絕服務

改善面板健康

勒索軟件（卡號覆蓋）

中間人（MitM）

普通推送通知

更多疊加

VNC

2FA攔截

從上述能力可以看出，SOVA 背後的組織者的思路非常激進，嘗試將惡意軟件和殭屍網絡的功能相結合，並力推SOVA 進入Android 銀行惡意軟件的不同領域。隨着這些功能在後續版本中陸續變成現實，SOVA 也逐漸成為Android領域中具備高危險性的惡意軟件。

（1）、覆蓋攻擊

與大多數 Android 銀行木馬一樣，SOVA 依靠覆蓋攻擊從受害者那裡竊取 PII。如果用戶試圖訪問包含在 SOVA 的活動目標列表中的銀行應用程序，惡意軟件將收到 Accessibility SerVices 的通知，並將顯示一個 WebView 覆蓋，偽裝成預期的銀行應用程序。

此外，攻擊者聲稱未來的 SOVA 版本將具有所謂的 3-stage-oVerlay，如下圖所示：

可以預見的是，3段疊加之後SOVA將擁有更強大的功能，甚至將額外的軟件下載到目標設備上。

而目標列表包含在名為「packageList.txt」的資產文件中，此列表非常廣泛，包含需要信用卡訪問權限才能運行的銀行應用程序、加密貨幣錢包和購物應用程序。

（2）、cookie竊取

SOVA 的另一個關鍵能力是竊取 cookie 的能力。由於Cookie允許用戶在瀏覽器上保持打開的會話而無需輸入任何憑據，因此攻擊者竊取 cookie 後就可以直接訪問受害者的 Web 會話。具體來說，SOVA 將創建一個 WebView 以打開目標應用程序的合法 Web URL，並在受害者成功登錄後使用 Android CookieManager 竊取 cookie。

根據已發現的代碼片段，研究人員已經知曉攻擊者是如何創建覆蓋 WebView，具體代碼如下：

this.setContentView(0x7F070001); // layout:actiVity_web_View WebView V1 = (WebView)this.a(0x7F05001D); // id:web_View Checks.checkNotNullWithName(V1, "web_View"); WebSettings webSettings = V1.getSettings(); Checks.checkNotNullWithName(webSettings, "web_View.settings"); webSettings.setJaVaScriptEnabled(true); ((WebView)this.a(0x7F05001D)).setLayerType(2, null); // id:web_View String link = this.getIntent().getStringExtra("link"); boolean getCookieFlag = this.getIntent().getBooleanExtra("getCookie", false); CookieManager cookieManager = CookieManager.getInstance(); CookieSyncManager.createInstance(this.getApplicationContext()); cookieManager.setAcceptThirdPartyCookies(((WebView)this.a(0x7F05001D)), true); // id:web_View cookieManager.acceptCookie(); CookieSyncManager.getInstance().startSync(); WebView webView2 = (WebView)this.a(0x7F05001D); // id:web_View Checks.checkNotNullWithName(webView2, "web_View"); Checks.checkNotNullWithName(cookieManager, "cookieManager"); webView2.setWebViewClient(new CustomWebViewClient(this, ((boolean)(((int)getCookieFlag))), cookieManager)); if(link != null) { ((WebView)this.a(0x7F05001D)).loadUrl(link); // id:web_View }

（向右滑動、查看更多）

需要注意的是，該惡意軟件不需要特定權限即可運行此代碼，研究人員在測試過程中發現，SOVA可輕鬆地從 Gmail 或 PayPal 等主要網站竊取會話 cookie，甚至是創建應用程序列表自動監控 cookie 的選項。

（3）、DDoS攻擊

DDoS 攻擊是SOVA的核心能力之一，也是當前 Android 惡意軟件生態系統中不常見的功能，其目標是耗盡設備的資源，使其對目標用戶不可用。在最初的版本中這個功能並沒有出現，但是背後的組織者已經設置了一個startddos命令，它將在 Kotlin 協程中執行以下代碼：

do { retrofitManager V3 = this.mRetrofitManager; if(!V3.isActiVe) { return l.a; } Objects.requireNonNull(V3.retrofitClient); this.i = V1_1; this.j = 1; } while(retrofitClient.ddosEndpoint.request(this.link, this) != V0);

（向右滑動、查看更多）

在SOVA的路線進化圖中，我們可以發現這個功能還在繼續開發之中，但儘管如此，SOVA實際上能夠使用 RetroFit 為給定的 URL 創建請求。

RetroFitBuilder DDOSretroFitBuilder = new RetroFitBuilder(); DDOSretroFitBuilder.setHTTPClient(okHTTPClient); DDOSretroFitBuilder.setBaseUrl("http://google.com/"); myConVerterFactory DDoSConVerterFactory = myConVerterFactory.c(); DDOSretroFitBuilder.conVerterFactories.add(DDoSConVerterFactory); retrofitClient.ddosEndpoint = (ddosEndpoint)DDOSretroFitBuilder.buildRetrofit().getProxyClass(ddosEndpoint.class);

（向右滑動、查看更多）

如上所示，儘管它將「google.com」設置為基本 URL，但通過使用 RetroFit 的 @Url 注釋，作者能夠動態輸入一個全新的 URL。

SOVAV4

SOVA V4版本是一次階段性更新，在這個版本中SOVA的威脅指數更高，且傳播能力、隱藏能力也都有了相應的提升。例如在V4版本中，SOVA 背後的組織者 (TA) 嘗試將惡意軟件隱藏在假冒的 Android 應用程序中，這些應用程序帶有流行應用程序的徽標，例如 Chrome、亞馬遜、NFT 平台或其他。

【SOVA V4 使用的主要圖標】

SOVA V4版本還更新了一項新的功能，即獲取受感染設備的屏幕截圖，以此從受害者那裡獲取更多信息。例如該惡意軟件可以投射/錄製屏幕，悄無聲息獲取用戶的關鍵信息，並對對敏感信息進行記錄和存儲（如下圖所示）。這些功能與可訪問性服務相結合，使 TA 能夠執行手勢，從而實現在受感染設備上進行欺詐活動。這和目前我們常見的Android 銀行木馬（Oscorp或BRATA）的做法並無二致。

【SOVA V4 的投射/錄製功能】

在SOVA V4版本，攻擊者可以輕鬆管理多個命令。其中包括屏幕點擊、滑動、複製/粘貼、顯示覆蓋屏幕以此隱藏屏幕信息獲取的能力等。所有已經獲取或存儲的敏感信息都會發送回C2服務器，這是一個十分明顯的指標，意味着SOVA仍然只是一個過渡版本，其背後的組織者還在不斷開發新的功能和特性。

同時，SOVA V4版本還對其核心功能cookie 竊取機制進行了重構和改進。其組織者詳細列出了他們感興趣的 Google 服務（如 Gmail、GPay 、Google 密碼管理器等），以及其他應用程序的列表。對於每一個被盜的 cookie，SOVA 還將收集附加信息，以便更精細化實施欺詐活動。

另一個重構的功能是其「保護模塊」，該模塊最主要的功能是保護惡意軟件被卸載。當用戶試圖從設置中卸載該惡意軟件時，SOVA 能夠攔截這些操作，自動返回主屏幕，並彈出一個小窗口「此應用程序是安全的」。

【SOVA V3 和 V4 之間的「保護」代碼比較】

和市場上主流Android 銀行木馬一樣，SOVA 使用 .apk後綴只是為了解壓惡意軟件，釋放真正具備惡意功能的 .dex 文件。在之前的版本中，SOVA 將 .dex 文件存儲在應用程序的目錄中，而在當前版本中，它使用設備的共享存儲目錄（「Android/obb/」）進行存儲，更直接也更加有效。

此外SOVA V4還增加了一個全新的模塊，專門用於Binance交易所和Trust Wallet（Binance 官方加密錢包）。對於這兩種應用程序，攻擊者旨在獲取不同的信息，例如賬戶餘額、受害者在應用程序內執行的不同操作，最後甚至是用於訪問加密錢包的助記詞（單詞集合）等。

SOVAV5

就在SOVA V4版本重出江湖之際，Cleafy ASK又在野外發現了多個SOVA變異樣本，疑似是SOVA V5版本。在對其新版本的代碼進行分析後，安全研究人員再次發現其代碼又有了重大的變化，增加了不少新的功能，此外惡意軟件與 C2 服務器之間通信也發生了一些小變化。

例如在 SOVA V5版本中並未觀察到 V4版本的VNC模塊，安全人員認為這個功能尚未集成到V5版本中。有意思的是，安全人員發現了多個用於調試的日誌，綜合這些信息 SOVA V5很有可能還處於開發之中。