疯狂的SOVA：Android银行木马“新标杆”

2021年8月初，一款针对Android银行APP的恶意软件出现在人们的视野中，ThreatFabric
安全研究人员首次发现了这一木马，在其C2服务器的登录面板，研究人员发现，攻击者将其称之为SOVA。

** SO** ** V** ** A简介**

在俄语中，SOVA译为猫头鹰，或许是攻击者期望该恶意软件如同猫头鹰一般，成为夜间的优秀捕食者。研究人员确认这是一个全新的Android银行木马，且被发现时正处于开发和测试阶段。

与之同时，研究人员还发现，攻击者已经为其未来可实现的功能建立了清晰的路线图。随后几个月的时间里，SOVA陆续更新了多个版本，真的实现了其更新路线图中提到的诸多功能，包括双因素身份验证
(2FA) 拦截、cookie
窃取和针对新目标、国家（例如多家菲律宾银行）的注入等。

SOVA 路线图（2021 年 9 月）

很明显，SOVA表现出想要“大干一场”的强烈意愿，这也是其在初始阶段就进行分发的原因之一。该恶意软件希望将分布式拒绝服务（DDoS）、中间人（MiTM）和RANSOMSORT功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上，足以给目标用户造成难以置信的伤害。它还有一个其他Android
恶意软件中不常见的功能：窃取会话cookie，这意味着犯罪分子无需知道银行凭据即可访问用户的有效登录会话，这也是很多银行APP感到非常头痛的地方。

此外，SOVA 以完全使用 Kotlin 开发而著称，Kotlin 是一种 Android 支持的编码语言，被许多人认为是 Android
开发的未来。如果作者对未来功能的承诺保持不变，那么 SOVA 可能会成为迄今为止在 Kotlin 中完全开发的最完整、最先进的 Android 恶意软件。

在迭代了V2和V3版本后，SOVA在一段时间内陷入了“沉睡”状态，但却在2022年5月再次被研究人员监测到处于活跃状态，并更新至V4版本，针对的目标也从2021年的90个增加至200个，包括银行应用程序和加密货币交易所/钱包。

有意思的是，安全研究人员还发现SOVA增加了一个令人意想不到的新功能——可对手机等移动端进行数据加密和勒索攻击。

** 起底SO** ** V** ** A**

1、语境

如下图所示，该截图包含了SOVA 混淆和打包版本的 VirusTotal 页面。在文件哈希下方突出显示的字符串是文件上传到 VirusTotal
时使用的名称，文件名为“Vormastor test
crypted.apk”。

根据作者的说法，美国和西班牙的不同银行机构已经有多种叠加可供选择，但它们提供了在买方有需要的情况下创造更多叠加的可能性。该恶意软件未来的版本可能会再次切换到JaVa，以解决其使用混淆软件的兼容性问题。

2、命令

以下是SOVA常用的命令列表：

3、能力

SOVA 的一大特点是不容易被发现，为了实现这一点，SOVA
滥用覆盖机制来诱骗受害者泄