Le cheval de Troie bancaire Android SOVA continue d’être activement développé avec des capacités améliorées pour cibler pas moins de 200 applications mobiles, y compris des applications bancaires et des échanges cryptographiques et des portefeuilles, contre 90 applications à ses débuts. C’est selon les dernières découvertes de la société italienne de cybersécurité Cleafy, qui a trouvé des versions plus récentes de la fonctionnalité sportive des logiciels malveillants pour intercepter les codes d’authentification à deux facteurs (2FA), voler des cookies et étendre son ciblage pour couvrir l’Australie, le Brésil, la Chine, l’Inde, le Philippines et Royaume-Uni SOVA, qui signifie hibou en russe, a été révélé en septembre 2021 lorsqu’il a été observé des applications financières et commerciales frappantes des États-Unis et d’Espagne pour la collecte d’informations d’identification par le biais d’attaques de superposition en tirant parti des services d’accessibilité d’Android. En moins d’un an, le cheval de Troie a également servi de base à un autre malware Android appelé MaliBot, conçu pour cibler les clients des banques en ligne et des portefeuilles de crypto-monnaie en Espagne et en Italie. La dernière variante de SOVA, surnommée v4 par Cleafy, se dissimule dans de fausses applications qui comportent des logos d’applications légitimes comme Amazon et Google Chrome pour tromper les utilisateurs afin qu’ils les installent. D’autres améliorations notables incluent la capture de captures d’écran et l’enregistrement des écrans de l’appareil.
« Ces fonctionnalités, combinées aux services d’accessibilité, permettent aux [acteurs de la menace] d’effectuer des gestes et, par conséquent, des activités frauduleuses à partir de l’appareil infecté, comme nous l’avons déjà vu dans d’autres chevaux de Troie bancaires Android (par exemple Oscorp ou BRATA) », a déclaré Francesco Iubatti, chercheur chez Cleafy. et Federico Valentini a dit. SOVA v4 est également remarquable pour ses efforts pour collecter des informations sensibles de Binance et Trust Wallet, telles que les soldes de compte et les phrases de départ. De plus, les 13 applications bancaires russes et ukrainiennes ciblées par le logiciel malveillant ont depuis été supprimées de la version. Pour aggraver les choses, la mise à jour permet au logiciel malveillant de tirer parti de ses autorisations étendues pour détourner les tentatives de désinstallation en redirigeant la victime vers l’écran d’accueil et en affichant le message toast « Cette application est sécurisée ». Le cheval de Troie bancaire, riche en fonctionnalités, devrait également intégrer un composant ransomware dans la prochaine itération, qui est actuellement en cours de développement et vise à chiffrer tous les fichiers stockés dans l’appareil infecté à l’aide d’AES et à les renommer avec l’extension « . enc. » L’amélioration est également susceptible de faire de SOVA une menace redoutable dans le paysage des menaces mobiles. « La fonctionnalité de ransomware est assez intéressante car elle n’est toujours pas courante dans le paysage des chevaux de Troie bancaires Android », ont déclaré les chercheurs. « Il s’appuie fortement sur l’opportunité qui s’est présentée ces dernières années, car les appareils mobiles sont devenus pour la plupart des gens le stockage central des données personnelles et professionnelles. »