Многомодульный троян для Android SOVA был
впервые замечен в августе-сентябре 2021 году. В первые месяцы работы вредоноса его авторы объявили о далеко идущих планах по развитию функционала для реализации атак man in the middle, DDoS и ransomware и др.
По информации AntiMalware за год существования вредонос получил 4 обновления и на данный момент может быть использован в атаках на 200 приложений среди которых банковский софт, криптобиржи и кошельки для цифровой валюты.
Перечень применяемых методов атак следующий:
- перехват кодов двухфакторной аутентификации;
- кража cookies;
- возможность внедрения кода в ряд новых банковских приложений;
- удаленный доступ к рабочему столу (VNC);
- AES шифрование данных.
По данным
TheHackerNews на сентябрь 2021 года SOVA применяется в основном в США и Великобритании, на третьем месте по количеству атакованных финансовых организаций стоит Россия.
Любопытно, что SOVA пока не использует один из наиболее распространенных методов атак на банковские сервисы для мобильных устройства Android – Overlay attack, при котором экран банковского приложения пользователя подменяется зачастую идентичным фейком, за счет чего злоумышленник похищает пользовательские данные при их введении в предназначенные для этого поля.