CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Malware-ul SOVA cripteaza dispozitivele Android

Malware-ul SOVA continuă să evolueze cu noi caracteristici, îmbunătățiri ale codului și adăugarea unei noi funcții ransomware care criptează fișierele de pe dispozitivele mobile.

Cu cea mai recentă versiune, malware-ul SOVA vizează acum peste 200 de aplicații bancare și portofele digitale, încercând să fure date ale utilizatorilor.

Analiștii de vulnerabilițăți de la firma de securitate Cleafy au urmărit evoluția SOVA de la anunțarea proiectului în septembrie 2021 și raportează că dezvoltarea acestuia a crescut rapid în 2022. În martie 2022, SOVA a lansat versiunea 3, adăugând interceptarea 2FA (autentificare cu doi factori) și furtul de cookie-uri. În iulie 2022, echipa de dezvoltare a SOVA a lansat versiunea 4, care a mărit numărul de aplicații vizate și a adăugat capabilități VNC (virtual network computing) pentru a frauda dispozitivele. Programul malware trimite o listă de aplicații instalate către C2 și primește un fișier XML care conține o listă de adrese care indică suprapunerile corecte care urmează să fie încărcate atunci când victima deschide o aplicație vizată.

În cea de-a patra versiune a fost adăugat suport pentru comenzi precum realizarea de capturi de ecran, copierea și lipirea de fișiere. De asemenea, aceasta versiune s-a concentrat pe Binance și pe aplicația „Trust Wallet” a platformei, folosind un modul dedicat pentru a fura cheia secretă a utilizatorului.

Recent, Cleafy a testat versiunea SOVA v5, care vine cu numeroase îmbunătățiri ale codului și cu adăugarea de noi caracteristici, cum ar fi un modul ransomware. Modulul utilizează criptarea AES pentru a bloca toate fișierele din dispozitivele infectate și adaugă extensia „.enc” la fișierele redenumite și criptate.

Totuși, cea de-a cincea versiune nu a fost încă distribuită pe scară largă, iar modulul VNC lipsește din primele mostre, așa că este probabil ca această versiune să fie încă în curs de dezvoltare. Chiar și în forma sa actuală, SOVA v5 este pregătit pentru implementarea în masă, potrivit Cleafy, așa că se recomandă tuturor utilizatorilor de Android sa fie atenti.

Sursa: https://www.bleepingcomputer.com/news/security/sova-malware-adds-ransomware-feature-to-encrypt-android-devices/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică