Банковский троян SOVA под Android продолжает активно развиваться и теперь способен поражать не менее 200 мобильных приложений, включая банковские приложения, криптовалютные биржи и кошельки, по сравнению с охватом всего 90 приложений в начале своего существования.
Согласно последним данным итальянской компании Cleafy, занимающейся вопросами кибербезопасности, новые версии вредоносной программы обладают функциями перехвата кодов двухфакторной аутентификации кражи файлов cookie, а также расширяют свою активность на Австралию, Бразилию, Китай, Индию, Филиппины и Великобританию.
О SOVA стало известно в сентябре 2021 года, когда было замечено, что вредонос поражает финансовые и торговые приложения из США и Испании для сбора учетных данных с помощью оверлей-атак, используя сервисы Android Accessibility.
Менее чем за год троян также послужил основой для другого вредоносного ПО для Android под названием «MaliBot», предназначенного для атак на клиентов онлайн-банкинга и криптовалютных кошельков в Испании и Италии.
Последний вариант SOVA, названный Cleafy v4, скрывает себя в поддельных приложениях с логотипами легальных приложений - таких как Amazon и Google Chrome - чтобы обмануть пользователей и заставить их установить. Среди других заметных усовершенствований - захват скриншотов и запись экранов устройств.
«Эти функции в сочетании с сервисами Accessibility позволяют атакующим выполнять любые функции и, соответственно, мошеннические действия с зараженного устройства, как мы уже видели в других банковских троянах на Android (например, Oscorp или BRATA)» - заявили исследователи Cleafy Франческо Иубатти и Федерико Валентини.
SOVA v4 также примечателен тем, что пытается собрать конфиденциальную информацию из Binance и Trust Wallet, такую как остатки на счетах и ключевые фразы. Более того, все 13 банковских приложений из России и Украины, на которые была нацелена вредоносная программа, уже удалены из этой версии.
Что еще хуже, обновление позволяет вредоносу использовать свои широкие права для отражения попыток деинсталляции, перенаправляя жертву на домашний экран и отображая сообщение «Это приложение защищено».
Ожидается, что в следующей версии трояна, которая находится в стадии разработки, появится компонент вымогательства, который будет шифровать все файлы, хранящиеся на зараженном устройстве, с помощью AES и переименовывать их с расширением «.enc».
Это усовершенствование также, вероятно, сделает SOVA грозным игроком в ландшафте мобильных угроз.
«Функция вымогательства довольно интересна, поскольку она все еще не является распространенной среди банковских троянов под Android» - сообщают исследователи. «Она в значительной степени использует возможности, возникшие в последние годы, когда мобильные устройства стали для большинства людей центральным хранилищем личных и деловых данных».
Источник: https://thehackernews.com
