Търсене
Close this search box.

Банковият троян SOVA Android продължава да се развива с нови функции, подобрения на кода и добавяне на нова функция за рансъмуер, която криптира файлове на мобилни устройства.

С последното издание злонамереният софтуер SOVA вече е насочен към над 200 приложения за банкиране, обмен на криптовалута и цифрови портфейли, като се опитва да открадне чувствителни потребителски данни и бисквитки от тях.

Освен това той разполага с преработен и подобрен код, който му помага да работи по-невидимо на компрометираното устройство, докато най-новата му версия, 5.0, добавя модул за рансъмуер.

Бърза еволюция

Анализатори на заплахи от фирмата за мобилна сигурност Cleafy проследиха еволюцията на SOVA от обявяването на проекта през септември 2021г. и съобщават, че развитието му бързо се е увеличило през 2022г.

През март 2022г. SOVA пусна версия 3, добавяйки 2FA прихващане, кражба на бисквитки и нови инжекции за множество банки по света. Инжекциите са наслагвания, показани върху легитимни подкани за влизане, които се използват за кражба на идентификационни данни, като тези за онлайн банкови приложения.

През юли 2022г. екипът за разработка на SOVA пусна версия 4, която увеличи целевите приложения до 200 и добави възможности за VNC (виртуална мрежова обработка) за измами на устройството.

 

Зловреден софтуер изпраща списък с инсталирани приложения до C2 и получава XML, съдържащ списък с адреси, които сочат към правилните наслагвания, които да бъдат заредени, когато жертвата отвори целево приложение.

Четвъртата основна версия също така добави поддръжка за команди като правене на екранни снимки, извършване на кликвания и плъзгания, копиране и поставяне на файлове и обслужване на екрани с наслагване по желание.

В тази версия също беше направен значителен рефакторинг на кода в механизма за кражба на бисквитки, който сега е насочен към Gmail, GPay и Google Password Manager.

 

SOVA v4 добави някои защити срещу защитни действия, злоупотребявайки с разрешенията за достъпност, за да върне потребителя обратно към началния екран, ако се опита да деинсталира приложението ръчно.

И накрая, четвъртата версия се фокусира върху Binance и приложението „Trust Wallet“ на платформата, използвайки специален модул, създаден, за да открадне тайната начална фраза на потребителя.

Нов рансъмуер модул

Съвсем наскоро Cleafy изпробва ранна версия на SOVA v5, която идва с многобройни подобрения на кода и добавяне на нови функции като модул за рансъмуер.

 

Модулът използва AES криптиране, за да заключи всички файлове в заразените устройства и да добави разширението „.enc“ към преименуваните, криптирани файлове.

„Функцията за рансъмуер е доста интересна, тъй като все още не е често срещана в пейзажа на банковите троянски коне на Android. Тя силно се възползва от възможността, която възниква през последните години, тъй като мобилните устройства се превърнаха за повечето хора в централно хранилище за лични и бизнес данни.“ – пишат изследователите.

Петата версия обаче все още не е широко разпространена и нейният VNC модул липсва в ранните проби, така че е вероятно тази версия все още да е в процес на разработка.

Дори в настоящата си, незавършена форма, SOVA v5 е готова за масово внедряване, според Cleafy, така че се препоръчва бдителност на всички потребители на Android.

И накрая, авторът на злонамерения софтуер изглежда решен и способен да изпълни своите обещания от септември 2021г., като се придържа към графика за разработка и добавя разширени функции на всеки няколко месеца.

Това превръща SOVA в заплаха с нарастваща интензивност, тъй като банковият троянски кон сега се определя като един от пионерите във все още недостатъчно проученото пространство на мобилния ransomware.

Източник: Cleafy

Източник: По материали от Интернет

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
Бъдете социални
Още по темата
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
06/09/2024

Банда за рансъмуер твърди, ...

Известна ransomware банда твърди, че е...
04/09/2024

Банди за рансъмуер опустоша...

Поредицата от големи атаки с рансъмуер...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!