SOVA криптира Android устройства

Банковият троян SOVA Android продължава да се развива с нови функции, подобрения на кода и добавяне на нова функция за рансъмуер, която криптира файлове на мобилни устройства.

С последното издание злонамереният софтуер SOVA вече е насочен към над 200 приложения за банкиране, обмен на криптовалута и цифрови портфейли, като се опитва да открадне чувствителни потребителски данни и бисквитки от тях.

Освен това той разполага с преработен и подобрен код, който му помага да работи по-невидимо на компрометираното устройство, докато най-новата му версия, 5.0, добавя модул за рансъмуер.

Бърза еволюция

Анализатори на заплахи от фирмата за мобилна сигурност Cleafy проследиха еволюцията на SOVA от обявяването на проекта през септември 2021г. и съобщават, че развитието му бързо се е увеличило през 2022г.

През март 2022г. SOVA пусна версия 3, добавяйки 2FA прихващане, кражба на бисквитки и нови инжекции за множество банки по света. Инжекциите са наслагвания, показани върху легитимни подкани за влизане, които се използват за кражба на идентификационни данни, като тези за онлайн банкови приложения.

През юли 2022г. екипът за разработка на SOVA пусна версия 4, която увеличи целевите приложения до 200 и добави възможности за VNC (виртуална мрежова обработка) за измами на устройството.

Apps targeted by SOVA v3 (left) and v4 (right)

Зловреден софтуер изпраща списък с инсталирани приложения до C2 и получава XML, съдържащ списък с адреси, които сочат към правилните наслагвания, които да бъдат заредени, когато жертвата отвори целево приложение.

Четвъртата основна версия също така добави поддръжка за команди като правене на екранни снимки, извършване на кликвания и плъзгания, копиране и поставяне на файлове и обслужване на екрани с наслагване по желание.

В тази версия също беше направен значителен рефакторинг на кода в механизма за кражба на бисквитки, който сега е насочен към Gmail, GPay и Google Password Manager.

Refactored cookie stealer

SOVA v4 добави някои защити срещу защитни действия, злоупотребявайки с разрешенията за достъпност, за да върне потребителя обратно към началния екран, ако се опита да деинсталира приложението ръчно.

И накрая, четвъртата версия се фокусира върху Binance и приложението „Trust Wallet“ на платформата, използвайки специален модул, създаден, за да открадне тайната начална фраза на потребителя.

Нов рансъмуер модул

Съвсем наскоро Cleafy изпробва ранна версия на SOVA v5, която идва с многобройни подобрения на кода и добавяне на нови функции като модул за рансъмуер.

SOVA's new ransomware module

Модулът използва AES криптиране, за да заключи всички файлове в заразените устройства и да добави разширението „.enc“ към преименуваните, криптирани файлове.

„Функцията за рансъмуер е доста интересна, тъй като все още не е често срещана в пейзажа на банковите троянски коне на Android. Тя силно се възползва от възможността, която възниква през последните години, тъй като мобилните устройства се превърнаха за повечето хора в централно хранилище за лични и бизнес данни.“ – пишат изследователите.

Петата версия обаче все още не е широко разпространена и нейният VNC модул липсва в ранните проби, така че е вероятно тази версия все още да е в процес на разработка.

Дори в настоящата си, незавършена форма, SOVA v5 е готова за масово внедряване, според Cleafy, така че се препоръчва бдителност на всички потребители на Android.

И накрая, авторът на злонамерения софтуер изглежда решен и способен да изпълни своите обещания от септември 2021г., като се придържа към графика за разработка и добавя разширени функции на всеки няколко месеца.

Това превръща SOVA в заплаха с нарастваща интензивност, тъй като банковият троянски кон сега се определя като един от пионерите във все още недостатъчно проученото пространство на мобилния ransomware.

Източник: Cleafy

Източник: По материали от Интернет

Подобни публикации

28 септември 2022

WatchGuard предупреждава, че Emotet се възражда

Компанията за мрежова сигурност подчерта, че експлойтите на Microso...
28 септември 2022

Украйна предупреждава за задаващи се руски кибе...

Украинското военно разузнаване предупреди днес, че Русия планира &#...
28 септември 2022

Microsoft ще оттегли правилата за клиентски дос...

Microsoft обяви днес, че ще оттегли правилата за клиентски достъп (...
27 септември 2022

Meta ликвидира руска мрежа, която фалшифицира ...

Meta разкри, че е премахнала широка мрежа от акаунти във Facebook и...
27 септември 2022

Нова кибератака чрез Messenger на Meta

Киберпрестъпниците са неуморни в търсенето на нови и по-сложни изма...
24 септември 2022

Как да изтриете твърд диск в 4 стъпки

Може да си мислите, че кaто изтриете вашите файлове и ги преместите...
Бъдете социални
Още по темата
22/09/2022

Изследователи разкриха дъл...

Откриха нова вълна от кампания за...
21/09/2022

Защитата на крайната точка ...

За юристите цифровата трансформация също носи...
20/09/2022

Европол и Bitdefender пуска...

Декриптор за рансъмуера LockerGoga беше предоставен...
Последно добавени
28/09/2022

WatchGuard предупреждава, ...

Компанията за мрежова сигурност подчерта, че...
28/09/2022

Украйна предупреждава за за...

Украинското военно разузнаване предупреди днес, че...
28/09/2022

Microsoft ще оттегли правил...

Microsoft обяви днес, че ще оттегли...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!