SOVA est un cheval de Troie bancaire Android qui est apparu pour la première fois dans un forum clandestin en septembre 2021. Même les premières itérations du les logiciels malveillants avait beaucoup de fonctionnalités, avec les plus récents mis à jour avec de nouvelles fonctionnalités et des améliorations de code.
Logiciel malveillant SOVA Android: Plusieurs versions dans la nature
La dernière fonctionnalité du malware SOVA semble être une fonctionnalité de ransomware conçue pour chiffrer les fichiers trouvés sur les appareils mobiles ciblés. La fonctionnalité est disponible en version SOVA 5.0.
Plus que 200 les banques sont ciblées avec cette variante, ainsi que des plates-formes d'échange de crypto-monnaie et des applications de portefeuille numérique où le malware vise à voler des données utilisateur sensibles et des cookies.
Selon un rapport de Cleafy, plusieurs échantillons de la quatrième version du logiciel malveillant étaient disponibles avec des fonctionnalités avancées, notamment l'interception 2FA, vol de biscuits, et injections pour de nouvelles cibles et pays. La cinquième version ajoute des capacités de ransomware.
Comment fonctionne le logiciel malveillant SOVA Android?
Il envoie une liste des applications installées (découvert sur l'appareil ciblé) au serveur de commande et de contrôle, et reçoit un fichier XML qui contient des adresses pointant vers les superpositions correctes à charger lors du chargement d'une application.
La dernière version du logiciel malveillant a une mise à niveau de la fonction de vol de cookies, qui cible désormais Gmail, Gestionnaire de mots de passe Google, et GPay.
Module Ransomware de SOVA
Cette fonctionnalité a été annoncée dans la feuille de route du malware de septembre 2021. Même s'il était déjà mis en œuvre, au moment de la rédaction [le rapport] la fonctionnalité semble être encore en développement. Les opérateurs de logiciels malveillants visent à chiffrer les fichiers sur les appareils infectés via AES et à les renommer avec l'extension .enc.
"La fonctionnalité de ransomware est assez intéressante car elle n'est toujours pas courante dans le paysage des chevaux de Troie bancaires Android.. Il s'appuie fortement sur l'opportunité qui se présente ces dernières années, car les appareils mobiles sont devenus pour la plupart des gens le stockage central des données personnelles et professionnelles," le rapport c'est noté.
Un autre exemple de malware Android récemment divulgué est Annonces masquées, propagé à l'aide d'applications malveillantes se faisant passer pour des applications de nettoyage et d'optimisation pour la gestion des appareils. Les applications Android ont été distribuées sur le Google Play Store.
Découverte par l'équipe de recherche mobile de McAfee, le malware est capable de se cacher et de montrer en permanence des publicités aux victimes (Les utilisateurs d'Android). Le logiciel malveillant est également capable d'exécuter ses services automatiquement lors de l'installation sans avoir besoin d'exécuter l'application..