SOVA криптира Android устройства

Банковият троян SOVA Android продължава да се развива с нови функции, подобрения на кода и добавяне на нова функция за рансъмуер, която криптира файлове на мобилни устройства.

С последното издание злонамереният софтуер SOVA вече е насочен към над 200 приложения за банкиране, обмен на криптовалута и цифрови портфейли, като се опитва да открадне чувствителни потребителски данни и бисквитки от тях.

Освен това той разполага с преработен и подобрен код, който му помага да работи по-невидимо на компрометираното устройство, докато най-новата му версия, 5.0, добавя модул за рансъмуер.

Бърза еволюция

Анализатори на заплахи от фирмата за мобилна сигурност Cleafy проследиха еволюцията на SOVA от обявяването на проекта през септември 2021г. и съобщават, че развитието му бързо се е увеличило през 2022г.

През март 2022г. SOVA пусна версия 3, добавяйки 2FA прихващане, кражба на бисквитки и нови инжекции за множество банки по света. Инжекциите са наслагвания, показани върху легитимни подкани за влизане, които се използват за кражба на идентификационни данни, като тези за онлайн банкови приложения.

През юли 2022г. екипът за разработка на SOVA пусна версия 4, която увеличи целевите приложения до 200 и добави възможности за VNC (виртуална мрежова обработка) за измами на устройството.

Apps targeted by SOVA v3 (left) and v4 (right)

Зловреден софтуер изпраща списък с инсталирани приложения до C2 и получава XML, съдържащ списък с адреси, които сочат към правилните наслагвания, които да бъдат заредени, когато жертвата отвори целево приложение.

Четвъртата основна версия също така добави поддръжка за команди като правене на екранни снимки, извършване на кликвания и плъзгания, копиране и поставяне на файлове и обслужване на екрани с наслагване по желание.

В тази версия също беше направен значителен рефакторинг на кода в механизма за кражба на бисквитки, който сега е насочен към Gmail, GPay и Google Password Manager.

Refactored cookie stealer

SOVA v4 добави някои защити срещу защитни действия, злоупотребявайки с разрешенията за достъпност, за да върне потребителя обратно към началния екран, ако се опита да деинсталира приложението ръчно.

И накрая, четвъртата версия се фокусира върху Binance и приложението „Trust Wallet“ на платформата, използвайки специален модул, създаден, за да открадне тайната начална фраза на потребителя.

Нов рансъмуер модул

Съвсем наскоро Cleafy изпробва ранна версия на SOVA v5, която идва с многобройни подобрения на кода и добавяне на нови функции като модул за рансъмуер.

SOVA's new ransomware module

Модулът използва AES криптиране, за да заключи всички файлове в заразените устройства и да добави разширението „.enc“ към преименуваните, криптирани файлове.

„Функцията за рансъмуер е доста интересна, тъй като все още не е често срещана в пейзажа на банковите троянски коне на Android. Тя силно се възползва от възможността, която възниква през последните години, тъй като мобилните устройства се превърнаха за повечето хора в централно хранилище за лични и бизнес данни.“ – пишат изследователите.

Петата версия обаче все още не е широко разпространена и нейният VNC модул липсва в ранните проби, така че е вероятно тази версия все още да е в процес на разработка.

Дори в настоящата си, незавършена форма, SOVA v5 е готова за масово внедряване, според Cleafy, така че се препоръчва бдителност на всички потребители на Android.

И накрая, авторът на злонамерения софтуер изглежда решен и способен да изпълни своите обещания от септември 2021г., като се придържа към графика за разработка и добавя разширени функции на всеки няколко месеца.

Това превръща SOVA в заплаха с нарастваща интензивност, тъй като банковият троянски кон сега се определя като един от пионерите във все още недостатъчно проученото пространство на мобилния ransomware.

Източник: Cleafy

Източник: По материали от Интернет

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
Бъдете социални
Още по темата
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
28/01/2023

Награда от 10 млн. долара з...

Днес Държавният департамент на САЩ предложи...
23/01/2023

Roaming Mantis отвлича DNS ...

Хакерите, свързани с кампанията  Roaming Mantis,...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!