Банковский троян SOVA, предназначенный для Android, продолжает развиваться, говорят ИБ-эксперты из компании Cleafy, специализирующейся на безопасности мобильных устройств. Авторы малвари улучшают свой код, а недавно добавили SOVA новую вымогательскую функцию, которая шифрует файлы на зараженных мобильных устройствах.
Аналитики Cleafy наблюдают за эволюцией SOVA с момента первого обнаружения этой угрозы в сентябре 2021 года и теперь сообщают, что в 2022 году развитие банкера резко ускорилось. К примеру, последняя версия SOVA нацелена на 200 банковских приложений, приложений для обмена криптовалютами и цифровых кошельков, стремясь похитить из них конфиденциальные пользовательские данные и файлы cookie.
Так, в марте 2022 года разработчики SOVA выпустили версию 3, добавив перехват 2ФА, кражу файлов cookie и новые оверлеи для ряда банковских приложений из разных стран мира. Уже в июле 2022 года команда разработчиков представила версию 4, в которой количество целевых приложений увеличилось до 200, а также появились возможности VNC (Virtual Network Computing, «Виртуальные сетевые вычисления»).
В четвертой, новейшей на текущий момент версии трояна, также появилась поддержка таких команд, как создание скриншотов, выполнение кликов и свайпов, копирование и вставка файлов, а также отображение оверлеев по желанию. Эксперты отмечают, что в этом релизе был проведен значительный рефакторинг кода, особенно затронувший механизм кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
К тому же в SOVA v4 обнаружились средства для обхода защитных механизмов. Например, злоупотребляя Accessibility services, малварь может вернуть пользователя на главный экран, если тот пытается удалить приложение вручную.
Теперь же аналитики Cleafy изучили раннюю версию SOVA v5, в который отмечены многочисленные улучшения кода и новые функции, включая вымогательский модуль, который использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавляет к ним расширение .enc.
«Вымогательская функциональность весьма интересна, поскольку до сих пор подобное не встречалось среди банковских троянов для Android. Она активно эксплуатирует возможности, появившиеся в последние годы, ведь мобильные устройства стали для большинства людей центральным хранилищем личных и деловых данных», — говорят специалисты.
Впрочем, пока пятая версия малвари не получила широкого распространения, модуль VNC отсутствует в изученных ранних образцах, и вполне вероятно, что эта версия пока находится в стадии разработки.
