SOVA Android bankacılık truva atı, başlatıldığında 90 uygulamadan bankacılık uygulamaları ve kripto borsaları ve cüzdanlar dahil olmak üzere en az 200 mobil uygulamayı hedeflemek için yükseltilmiş yeteneklerle aktif olarak geliştirilmeye devam ediyor.
Bu, iki faktörlü kimlik doğrulama (2FA) kodlarını ele geçirmek, çerezleri çalmak ve hedeflemesini Avustralya, Brezilya, Çin, Hindistan’ı kapsayacak şekilde genişletmek için kötü amaçlı yazılım sporu işlevselliğinin daha yeni sürümlerini bulan İtalyan siber güvenlik firması Cleafy’nin en son bulgularına göre. Filipinler ve Birleşik Krallık
Rusça’da Baykuş anlamına gelen SOVA, Eylül 2021’de ABD ve İspanya’dan Android’in Erişilebilirlik hizmetlerinden yararlanarak yer paylaşımlı saldırılar yoluyla kimlik bilgilerini toplamak için çarpıcı finans ve alışveriş uygulamalarının gözlemlenmesiyle ortaya çıktı.
Truva atı, bir yıldan kısa bir süre içinde, İspanya ve İtalya’daki çevrimiçi bankacılık ve kripto para cüzdanı müşterilerini hedeflemek için tasarlanan MaliBot adlı başka bir Android kötü amaçlı yazılımı için de temel görevi gördü.
Cleafy tarafından v4 olarak adlandırılan SOVA’nın en son çeşidi, kullanıcıları kandırmak için Amazon ve Google Chrome gibi yasal uygulamaların logolarını içeren sahte uygulamalarda kendini gizler. Diğer dikkate değer iyileştirmeler arasında ekran görüntülerinin alınması ve cihaz ekranlarının kaydedilmesi yer alıyor.
“Erişilebilirlik hizmetleriyle birlikte bu özellikler, [threat actors] Cleafy araştırmacıları Francesco Iubatti ve Federico Valentini, diğer Android Bankacılık Truva Atlarında (örn. söz konusu.
SOVA v4, Binance ve Trust Wallet’tan hesap bakiyeleri ve çekirdek ifadeler gibi hassas bilgileri toplama çabasıyla da dikkat çekiyor. Dahası, kötü amaçlı yazılımın hedef aldığı 13 Rus ve Ukrayna tabanlı bankacılık uygulamasının tamamı o zamandan beri sürümden kaldırıldı.
Daha da kötüsü, güncelleme, kötü amaçlı yazılımın, kurbanı ana ekrana yönlendirerek ve tost mesajı “Bu uygulama güvenlidir.”
Zengin özelliklere sahip olan bankacılık truva atının, şu anda geliştirilmekte olan ve virüslü cihazda depolanan tüm dosyaları kullanarak şifrelemeyi amaçlayan bir sonraki yinelemede bir fidye yazılımı bileşeni içermesi bekleniyor. AES ve bunları “.enc” uzantısıyla yeniden adlandırın.
Geliştirmenin, SOVA’yı mobil tehdit ortamında zorlu bir tehdit haline getirmesi de muhtemel.
Araştırmacılar, “Fidye yazılımı özelliği, Android bankacılık truva atları ortamında hala yaygın olmadığı için oldukça ilginç” dedi. “Mobil cihazlar çoğu insan için kişisel ve iş verileri için merkezi depolama haline geldiğinden, son yıllarda ortaya çıkan fırsattan güçlü bir şekilde yararlanıyor.”