Многомодульный троян SOVA для финансовых Android приложений теперь может шифровать файлы на устройстве

Многомодульный троян для Android SOVA был впервые замечен в августе-сентябре 2021 году. В первые месяцы работы вредоноса его авторы объявили о далеко идущих планах по развитию функционала для реализации атак man in the middle, DDoS и ransomware и др.

По информации AntiMalware за год существования вредонос получил 4 обновления и на данный момент может быть использован в атаках на 200 приложений среди которых банковский софт, криптобиржи и кошельки для цифровой валюты.

Перечень применяемых методов атак следующий:

• перехват кодов двухфакторной аутентификации;
• кража cookies;
• возможность внедрения кода в ряд новых банковских приложений;
• удаленный доступ к рабочему столу (VNC);
• AES шифрование данных.

По данным TheHackerNews на сентябрь 2021 года SOVA применяется в основном в США и Великобритании, на третьем месте по количеству атакованных финансовых организаций стоит Россия.

Любопытно, что SOVA пока не использует один из наиболее распространенных методов атак на банковские сервисы для мобильных устройства Android – Overlay attack, при котором экран банковского приложения пользователя подменяется зачастую идентичным фейком, за счет чего злоумышленник похищает пользовательские данные при их введении в предназначенные для этого поля.