SOVA er en Android-banktrojaner, der først dukkede op i et underjordisk forum i september 2021. Selv de første iterationer af malware havde masser af funktionaliteter, med de seneste opdateret med nye funktioner og kodeforbedringer.
SOVA Android Malware: Flere versioner i naturen
Den seneste kapacitet af SOVA malware ser ud til at være en ransomware funktion designet til at kryptere filer fundet på målrettede mobile enheder. Funktionen er tilgængelig i SOVA-version 5.0.
Mere end 200 banker er målrettet med denne variant, samt cryptocurrency-udvekslingsplatforme og digitale tegnebog-apps, hvor malwaren sigter mod at stjæle følsomme brugerdata og cookies.
Ifølge en rapport fra Cleafy, flere prøver af den fjerde version af malware var tilgængelige med avancerede funktioner, herunder 2FA-aflytning, småkage stjæle, og injektioner til nye mål og lande. Den femte version tilføjer ransomware-funktioner.
Hvordan fungerer SOVA Android Malware?
Den sender en liste over installerede applikationer (opdaget på den målrettede enhed) til kommando-og-kontrol-serveren, og modtager en XML-fil, der indeholder adresser, der peger på de korrekte overlejringer, der skal indlæses ved indlæsning af en app.
Den seneste udgivelse af malwaren har en opgradering i funktionen til at stjæle cookies, som nu er målrettet mod Gmail, Google Password Manager, og GPay.
SOVAs Ransomware-modul
Denne funktion blev annonceret i malwarens køreplan fra september 2021. Også selvom det allerede var implementeret, på tidspunktet for skrivning [rapporten] funktionen ser ud til at være stadig under udvikling. Malware-operatørerne sigter mod at kryptere filer på inficerede enheder via AES og omdøbe dem med .enc-udvidelsen.
"Ransomware-funktionen er ret interessant, da den stadig ikke er almindelig i Android-banktrojanske landskaber. Det udnytter i høj grad den mulighed, der opstår i de senere år, da mobile enheder for de fleste mennesker blev det centrale lager for personlige og forretningsmæssige data," rapporten bemærkes.
Et andet eksempel på en nylig afsløret Android-malware er Skjulte annoncer, forplantet ved hjælp af ondsindede apps, der udgiver sig som renere og optimeringsapps til enhedsadministration. Android-apps blev distribueret i Google Play Butik.
Opdaget af McAfees Mobile Research Team, malwaren er i stand til at skjule sig selv og løbende vise reklamer til ofrene (Android-brugere). Malwaren er også i stand til at køre sine tjenester automatisk ved installation uden behov for at udføre appen.