SOVA криптира Android устройства

Банковият троян SOVA Android продължава да се развива с нови функции, подобрения на кода и добавяне на нова функция за рансъмуер, която криптира файлове на мобилни устройства.

С последното издание злонамереният софтуер SOVA вече е насочен към над 200 приложения за банкиране, обмен на криптовалута и цифрови портфейли, като се опитва да открадне чувствителни потребителски данни и бисквитки от тях.

Освен това той разполага с преработен и подобрен код, който му помага да работи по-невидимо на компрометираното устройство, докато най-новата му версия, 5.0, добавя модул за рансъмуер.

Бърза еволюция

Анализатори на заплахи от фирмата за мобилна сигурност Cleafy проследиха еволюцията на SOVA от обявяването на проекта през септември 2021г. и съобщават, че развитието му бързо се е увеличило през 2022г.

През март 2022г. SOVA пусна версия 3, добавяйки 2FA прихващане, кражба на бисквитки и нови инжекции за множество банки по света. Инжекциите са наслагвания, показани върху легитимни подкани за влизане, които се използват за кражба на идентификационни данни, като тези за онлайн банкови приложения.

През юли 2022г. екипът за разработка на SOVA пусна версия 4, която увеличи целевите приложения до 200 и добави възможности за VNC (виртуална мрежова обработка) за измами на устройството.

Apps targeted by SOVA v3 (left) and v4 (right)

Зловреден софтуер изпраща списък с инсталирани приложения до C2 и получава XML, съдържащ списък с адреси, които сочат към правилните наслагвания, които да бъдат заредени, когато жертвата отвори целево приложение.

Четвъртата основна версия също така добави поддръжка за команди като правене на екранни снимки, извършване на кликвания и плъзгания, копиране и поставяне на файлове и обслужване на екрани с наслагване по желание.

В тази версия също беше направен значителен рефакторинг на кода в механизма за кражба на бисквитки, който сега е насочен към Gmail, GPay и Google Password Manager.

Refactored cookie stealer

SOVA v4 добави някои защити срещу защитни действия, злоупотребявайки с разрешенията за достъпност, за да върне потребителя обратно към началния екран, ако се опита да деинсталира приложението ръчно.

И накрая, четвъртата версия се фокусира върху Binance и приложението „Trust Wallet“ на платформата, използвайки специален модул, създаден, за да открадне тайната начална фраза на потребителя.

Нов рансъмуер модул

Съвсем наскоро Cleafy изпробва ранна версия на SOVA v5, която идва с многобройни подобрения на кода и добавяне на нови функции като модул за рансъмуер.

SOVA's new ransomware module

Модулът използва AES криптиране, за да заключи всички файлове в заразените устройства и да добави разширението „.enc“ към преименуваните, криптирани файлове.

„Функцията за рансъмуер е доста интересна, тъй като все още не е често срещана в пейзажа на банковите троянски коне на Android. Тя силно се възползва от възможността, която възниква през последните години, тъй като мобилните устройства се превърнаха за повечето хора в централно хранилище за лични и бизнес данни.“ – пишат изследователите.

Петата версия обаче все още не е широко разпространена и нейният VNC модул липсва в ранните проби, така че е вероятно тази версия все още да е в процес на разработка.

Дори в настоящата си, незавършена форма, SOVA v5 е готова за масово внедряване, според Cleafy, така че се препоръчва бдителност на всички потребители на Android.

И накрая, авторът на злонамерения софтуер изглежда решен и способен да изпълни своите обещания от септември 2021г., като се придържа към графика за разработка и добавя разширени функции на всеки няколко месеца.

Това превръща SOVA в заплаха с нарастваща интензивност, тъй като банковият троянски кон сега се определя като един от пионерите във все още недостатъчно проученото пространство на мобилния ransomware.

Източник: Cleafy

Източник: По материали от Интернет

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...
Бъдете социални
Още по темата
20/05/2023

3 вектора на атака са причи...

Повечето нападатели с ransomware използват един...
18/05/2023

САЩ предлагат награда от 10...

Министерството на правосъдието на САЩ повдигна...
17/05/2023

Нова рансъмуер група атакув...

Открита е нова заплаха от типа...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!