Le cheval de Troie bancaire Android SOVA continue d’être activement développé avec des capacités améliorées pour cibler pas moins de 200 applications mobiles, y compris des applications bancaires et des échanges cryptographiques et des portefeuilles, contre 90 applications à ses débuts.
C’est selon les dernières découvertes de la société italienne de cybersécurité Cleafy, qui a trouvé des versions plus récentes de la fonctionnalité sportive des logiciels malveillants pour intercepter les codes d’authentification à deux facteurs (2FA), voler des cookies et étendre son ciblage pour couvrir l’Australie, le Brésil, la Chine, l’Inde, le Philippines et Royaume-Uni
SOVA, qui signifie hibou en russe, a été révélé en septembre 2021 lorsqu’il a été observé des applications financières et commerciales frappantes des États-Unis et d’Espagne pour récolter des informations d’identification par le biais d’attaques de superposition en tirant parti des services d’accessibilité d’Android.
En moins d’un an, le cheval de Troie a également servi de base à un autre malware Android appelé MaliBot, conçu pour cibler les clients des banques en ligne et des portefeuilles de crypto-monnaie en Espagne et en Italie.
La dernière variante de SOVA, surnommée v4 par Cleafy, se cache dans de fausses applications qui comportent des logos d’applications légitimes comme Amazon et Google Chrome pour tromper les utilisateurs afin qu’ils les installent. D’autres améliorations notables incluent la capture de captures d’écran et l’enregistrement des écrans de l’appareil.
« Ces fonctionnalités, associées aux services d’accessibilité, permettent [threat actors] d’effectuer des gestes et, par conséquent, des activités frauduleuses à partir de l’appareil infecté, comme nous l’avons déjà vu dans d’autres chevaux de Troie bancaires Android (par exemple Oscorp ou BRATA), » les chercheurs de Cleafy Francesco Iubatti et Federico Valentini a dit.
SOVA v4 est également remarquable pour ses efforts pour collecter des informations sensibles de Binance et Trust Wallet, telles que les soldes de compte et les phrases de départ. De plus, les 13 applications bancaires russes et ukrainiennes ciblées par le logiciel malveillant ont depuis été supprimées de la version.
Pour aggraver les choses, la mise à jour permet au logiciel malveillant de tirer parti de ses autorisations étendues pour détourner les tentatives de désinstallation en redirigeant la victime vers l’écran d’accueil et en affichant le message de pain grillé « Cette application est sécurisée. »
Le cheval de Troie bancaire, riche en fonctionnalités, devrait également incorporer un composant ransomware dans la prochaine itération, qui est actuellement en cours de développement et vise à chiffrer tous les fichiers stockés dans l’appareil infecté à l’aide AES et renommez-les avec l’extension « .enc. »
L’amélioration est également susceptible de faire de SOVA une menace redoutable dans le paysage des menaces mobiles.
« La fonctionnalité de ransomware est assez intéressante car elle n’est toujours pas courante dans le paysage des chevaux de Troie bancaires Android », ont déclaré les chercheurs. « Il s’appuie fortement sur l’opportunité qui s’est présentée ces dernières années, car les appareils mobiles sont devenus pour la plupart des gens le stockage central des données personnelles et professionnelles. »