SOVA é um trojan bancário para Android que apareceu pela primeira vez em um fórum clandestino em setembro 2021. Mesmo as primeiras iterações do malwares tinha muitas funcionalidades, com os mais recentes atualizados com novos recursos e melhorias de código.
Malware Android SOVA: Várias versões na natureza
O recurso mais recente do malware SOVA parece ser um recurso de ransomware projetado para criptografar arquivos encontrados em dispositivos móveis direcionados. O recurso está disponível na versão SOVA 5.0.
Mais que 200 os bancos são visados com esta variante, bem como plataformas de troca de criptomoedas e aplicativos de carteira digital onde o malware tem como objetivo roubar dados e cookies confidenciais do usuário.
De acordo com um relatório de Cleafy, várias amostras da quarta versão do malware estavam disponíveis com recursos avançados, incluindo interceptação 2FA, roubo de biscoito, e injeções para novos alvos e países. A quinta versão adiciona recursos de ransomware.
Como funciona o malware SOVA Android?
Ele envia uma lista de aplicativos instalados (descoberto no dispositivo de destino) para o servidor de comando e controle, e recebe um arquivo XML que contém endereços apontando para as sobreposições corretas a serem carregadas ao carregar um aplicativo.
A versão mais recente do malware tem uma atualização no recurso de roubo de cookies, que agora segmenta o Gmail, Gerenciador de senhas do Google, e GPay.
Módulo Ransomware do SOVA
Esse recurso foi anunciado no roteiro do malware de setembro 2021. Apesar de já ter sido implementado, no momento da escrita [o relatório] o recurso parece ainda estar em desenvolvimento. Os operadores de malware pretendem criptografar arquivos em dispositivos infectados via AES e renomeá-los com a extensão .enc.
“O recurso de ransomware é bastante interessante, pois ainda não é comum no cenário de trojans bancários do Android. Aproveita fortemente a oportunidade que surge nos últimos anos, à medida que os dispositivos móveis se tornaram para a maioria das pessoas o armazenamento central de dados pessoais e empresariais," o relatório notado.
Outro exemplo de um malware Android recentemente divulgado é Anúncios ocultos, propagado com a ajuda de aplicativos maliciosos que se disfarçam de aplicativos mais limpos e de otimização para gerenciamento de dispositivos. Os aplicativos Android foram distribuídos na Google Play Store.
Descoberto pela equipe de pesquisa móvel da McAfee, o malware é capaz de se esconder e mostrar continuamente anúncios às vítimas (usuários do Android). O malware também é capaz de executar seus serviços automaticamente após a instalação sem a necessidade de executar o aplicativo.