Cleafy: банковский троянец SOVA для Android возвращается с новыми функциями

Дата: 14.08.2022. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
Cleafy: банковский троянец SOVA для Android возвращается с новыми функциями
Изображение: Rami Al-zayat (unsplash)

Исследователи компании Cleafy заявили об обнаружении новой версии известного ранее банковского троянца для Android SOVA, который, судя по всему, обзавёлся новыми функциями и активно эксплуатируется сейчас злоумышленниками.

В отчёте уточняется, что вредонос SOVA был впервые обнаружен в сентябре 2021 года, когда его разработчики опубликовали план будущих кибератак, заявив, что вредоносное ПО выходит на рынок, несмотря на то, что все еще находится на стадии тестирования. В последующие месяцы эксперты Cleafy обнаруживали различные версии SOVA, в некоторых из которых были реализованы определенные функции, упомянутые в дорожной карте разработки вредоносного ПО на 2021 год. К ним относятся:

  • перехват двухфакторной аутентификации (2FA);
  • кража файлов cookie и инъекции для новых целей и стран (например, несколько филиппинских банков).

Затем, в июле 2022 года, компания Cleafy обнаружила новую версию SOVA (v4), которую фирма по кибербезопасности подробно описывает в своем последнем отчете. По словам экспертов, вредонос SOVA v4 обладает новыми возможностями и, как сообщается, нацелен на более чем 200 мобильных приложений (против 90 в 2021 году), включая банковские приложения и криптобиржи/кошельки, такие как Binance.

«Самая интересная часть вредоносного ПО SOVA v4 связана с возможностью виртуальных сетевых вычислений», — уточнили в компании Cleafy. «Эта функция добавлена в дорожную карту SOVA с сентября 2021 года, и это убедительное свидетельство того, что злоумышленники постоянно обновляют вредоносное ПО новыми функциями и возможностями».

Кроме того, последняя версия вредоносной программы SOVA может также получать скриншоты с зараженных устройств, записывать и выполнять жесты, управлять несколькими командами.

В SOVA v4 механизм кражи файлов cookie был дополнительно переработан и улучшен, чтобы была возможность указывать полный список целевых сервисов Google, а также список других приложений. Кроме того, обновленное вредоносное ПО теперь может защищать себя, перехватывая действия, направленные на удаление приложения.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.