Вредоносная программа SOVA добавляет функцию вымогателей для шифрования устройств Android

safety

Банковский троян SOVA для Android продолжает развиваться, добавляя новые функции, улучшения кода и добавление новой функции программы-вымогателя, которая шифрует файлы на мобильных устройствах.

В последнем выпуске вредоносное ПО SOVA теперь нацелено на более 200 банковских приложений, приложений для обмена криптовалютами и цифровых кошельков, пытаясь украсть у них конфиденциальные пользовательские данные и файлы cookie.

Кроме того, он имеет рефакторинг и улучшенный код, который помогает ему работать более скрытно на скомпрометированном устройстве, а в его последней версии 5.0 добавлен модуль вымогателя.

Быстрая эволюция

Аналитики угроз компании Cleafy, занимающейся безопасностью мобильных устройств, следили за эволюцией SOVA с момента объявления проекта в сентябре 2021 года и сообщают, что в 2022 году его развитие резко ускорилось.

В марте 2022 года SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру. Инъекции — это наложения, отображаемые поверх законных запросов на вход в систему, которые используются для кражи учетных данных, например, для приложений онлайн-банка.

В июле 2022 года команда разработчиков SOVA выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC (виртуальные сетевые вычисления) для мошенничества на устройстве.

Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.

В четвертой основной версии также добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.

В этом выпуске также был проведен значительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.

SOVA v4 добавила некоторые средства защиты от защитных действий, злоупотребляя разрешениями на доступность, чтобы вернуть пользователя на главный экран, если он попытается удалить приложение вручную.

Наконец, четвертая версия была ориентирована на Binance и приложение платформы «Trust Wallet» с использованием специального модуля, созданного для кражи секретной фразы пользователя.

Новый модуль вымогателей

Совсем недавно Cleafy протестировала ранний выпуск SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль программы-вымогателя.


Модуль использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.

«Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android. Она активно использует возможности, появившиеся в последние годы, поскольку мобильные устройства стали для большинства людей центральным хранилищем личных и деловых данных».

Однако пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.

По словам Клифи, даже в своем нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android рекомендуется проявлять бдительность.

Наконец, автор вредоносной программы, похоже, полон решимости и способен выполнить свои обещания от сентября 2021 года, придерживаясь графика разработки и добавляя расширенные функции каждые несколько месяцев.

Это делает SOVA все более опасной угрозой, поскольку банковский троян в настоящее время позиционирует себя как один из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.

https://www.bleepingcomputer.com/news/security/sova-malware-adds-ransomware-feature-to-encrypt-android-devices/