El troyano bancario para Android SOVA regresa con nuevas características, incluyendo el ransomware

El troyano bancario para Android SOVA ha sido detectado nuevamente en circulación y parece tener nuevas características.

0
80

La noticia proviene de los investigadores de seguridad de Cleafy, que compartieron los hallazgos en un aviso reciente.

El documento explica cómo SOVA fue visto por primera vez en septiembre de 2021, cuando sus desarrolladores publicaron una hoja de ruta de futuras actualizaciones en la dark web diciendo que el malware estaba entrando en el mercado, a pesar de estar todavía en fase de pruebas.

En los meses siguientes, Cleafy detectó varias versiones de SOVA, algunas de las cuales implementaban ciertas características mencionadas en la hoja de ruta de desarrollo del malware para 2021.

Estas incluían la interceptación de la autenticación de dos factores (2FA), el robo de cookies y las inyecciones para nuevos objetivos y países (por ejemplo, varios bancos filipinos).

Luego, en julio de 2022, Cleafy detectó una nueva versión de SOVA (v4), que la empresa de seguridad detalla ahora en su último aviso.

SOVA v4 presenta nuevas capacidades y, según se informa, se dirige a más de 200 aplicaciones móviles (frente a las 90 originales de 2021), incluidas las aplicaciones bancarias y las bolsas/carteras de criptomonedas como Binance.

«La parte más interesante está relacionada con la capacidad [de computación en red virtual]», escribió Cleafy. «Esta característica ha estado en la hoja de ruta de SOVA desde septiembre de 2021 y eso es una fuerte evidencia de que los actores de la amenaza están actualizando constantemente el malware con nuevas características y capacidades».

Además, la última versión del malware también puede obtener capturas de pantalla de los dispositivos infectados, grabar y realizar gestos y gestionar múltiples comandos.

En SOVA v4, el mecanismo de robo de cookies se ha refactorizado y mejorado para especificar una lista completa de servicios de Google como objetivo, junto con una lista de otras aplicaciones. Además, el malware actualizado puede protegerse interceptando las acciones destinadas a desinstalar su aplicación.

En el mismo aviso, Cleafy también afirmó haber detectado algún caso de otra variante de SOVA. La v5 del malware muestra una nueva refactorización del código, la adición de nuevas características y algunos pequeños cambios en las comunicaciones entre el malware y el servidor de comando y control (C2).

Más concretamente, SOVA v5 carece del módulo VNC, pero en su lugar presenta capacidades de ransomware.

«La función de ransomware es bastante interesante, ya que todavía no es algo común en el panorama de los troyanos bancarios para Android», escribió Cleafy.

«Aprovecha fuertemente la oportunidad surgida en los últimos años, ya que los dispositivos móviles se convirtieron para la mayoría de la gente en el almacenamiento central de los datos personales y empresariales».

Fuente WEB | Editado por CambioDigital OnLine

Custom Text
Artículo anteriorConozca las tecnologías emergentes que identifica Gartner
Artículo siguienteElon Musk declara en Twitter que Tesla ha fabricado más de 3 millones de vehículos, un millón de ellos producidos en China