El troyano bancario para Android SOVA regresa con nuevas funciones, incluido el ransomware

El troyano bancario para Android SOVA ha sido visto nuevamente y parece tener nuevas funciones.

La noticia proviene de los investigadores de seguridad de Cleafy , quienes compartieron los hallazgos en un aviso el jueves.

El documento explica cómo se detectó SOVA por primera vez en septiembre de 2021, cuando sus desarrolladores publicaron una hoja de ruta de futuras actualizaciones en la web oscura que decía que el malware estaba ingresando al mercado, a pesar de que aún estaba bajo prueba.

En los meses siguientes, Cleafy detectó varias versiones de SOVA, algunas de las cuales implementaron ciertas funciones mencionadas en la hoja de ruta de desarrollo del malware para 2021.

Estos incluyeron la interceptación de la autenticación de dos factores (2FA), el robo de cookies y las inyecciones para nuevos objetivos y países (por ejemplo, varios bancos filipinos).

Luego, en julio de 2022, Cleafy detectó una nueva versión de SOVA (v4), que la firma de seguridad ahora detalla en su último aviso.

SOVA v4 presenta nuevas capacidades y, según se informa, apunta a más de 200 aplicaciones móviles (frente a las 90 originales en 2021), incluidas aplicaciones bancarias y criptobolsas/carteras como Binance.

“La parte más interesante está relacionada con la capacidad [de computación en red virtual]”, escribió Cleafy. “Esta característica ha estado en la hoja de ruta de SOVA desde septiembre de 2021 y esa es una fuerte evidencia de que los actores de amenazas actualizan constantemente el malware con nuevas características y capacidades”.

Además, la última versión del malware también puede obtener capturas de pantalla de los dispositivos infectados, grabar y realizar gestos y administrar múltiples comandos.

En SOVA v4, el mecanismo de robo de cookies se modificó y mejoró aún más para especificar una lista completa de servicios de Google específicos, junto con una lista de otras aplicaciones. Además, el malware actualizado ahora puede protegerse interceptando acciones destinadas a desinstalar su aplicación.

Cleafy también afirmó haber detectado algún caso de otra variante de SOVA. La v5 del malware muestra una nueva refactorización del código, la adición de nuevas características y algunos pequeños cambios en las comunicaciones entre el malware y el servidor de comando y control (C2).

“La función de ransomware es bastante interesante, ya que todavía no es común en el panorama de los troyanos bancarios de Android”, escribió Cleafy.

«Aprovecha fuertemente la oportunidad que surge en los últimos años, ya que los dispositivos móviles se convirtieron para la mayoría de las personas en el almacenamiento central de datos personales y comerciales».

Fuente Infosecurity Magazine