Trojan perbankan Android SOVA terus berkembang dengan fitur baru, peningkatan kode, dan penambahan fitur ransomware baru yang mengenkripsi file di perangkat seluler.
Dengan rilis terbaru, malware SOVA sekarang menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency, dan dompet digital, mencoba mencuri data pengguna dan cookie sensitif dari mereka.
Selain itu, fitur refactored dan kode yang ditingkatkan yang membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbarunya, 5.0, menambahkan modul ransomware.
Analis ancaman di perusahaan keamanan seluler Cleafy telah mengikuti evolusi SOVA sejak pengumuman proyek pada September 2021 dan melaporkan bahwa perkembangannya meningkat pesat pada 2022.
Pada Maret 2022, SOVA merilis versi 3, menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk banyak bank di seluruh dunia. Suntikan adalah hamparan yang ditampilkan di atas permintaan masuk yang sah yang digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.
Pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil hingga 200 aplikasi yang ditargetkan, dan menambahkan kemampuan VNC (komputasi jaringan virtual) untuk penipuan di perangkat.
Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML yang berisi daftar alamat yang mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.
Versi utama keempat juga menambahkan dukungan untuk perintah seperti mengambil tangkapan layar, melakukan klik dan gesekan, menyalin dan menempel file, dan menyajikan layar overlay sesuka hati.
Rilis ini juga melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencuri cookie, sekarang menargetkan Gmail, GPay, dan Google Password Manager.
SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin Aksesibilitas untuk mendorong pengguna kembali ke layar beranda jika mereka mencoba mencopot pemasangan aplikasi secara manual.
Terakhir, versi keempat berfokus pada Binance dan aplikasi ‘Trust Wallet’ platform, menggunakan modul khusus yang dibuat untuk mencuri frase benih rahasia pengguna.
Baru-baru ini, Cleafy mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak perbaikan kode dan penambahan fitur baru seperti modul ransomware.
Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi “.enc” pada file yang telah diubah namanya dan dienkripsi.
Versi kelima belum diedarkan secara luas, dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan.
Bahkan dalam bentuknya yang belum selesai saat ini, SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi kewaspadaan disarankan untuk semua pengguna Android.
Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat, karena trojan perbankan sekarang menetapkan dirinya sebagai salah satu pelopor ruang ransomware seluler yang masih belum dijelajahi.
Sumber: Bleeping Computer
