El troyano bancario para Android SOVA regresa con nuevas capacidades y objetivos
El troyano bancario SOVA para Android resurge con nuevas capacidades y objetivos
El troyano bancario SOVA para Android sigue desarrollándose activamente con capacidades mejoradas para apuntar a no menos de 200 aplicaciones móviles, incluyendo aplicaciones bancarias y criptobolsas y billeteras frente a las 90 aplicaciones cuando comenzó.
Estos hallazgos fueron informados por la compañía italiana de seguridad cibernética Cleafy, que encontró versiones más nuevas de la funcionalidad deportiva de malware para interceptar códigos de autenticación de dos factores (2FA), robar cookies y expandir su objetivo para cubrir Australia, Brasil, China, India, Filipinas y el Reino Unido.
SOVA, que significa Búho en ruso, salió a la luz en septiembre de 2021 cuando se observaron aplicaciones financieras y de compras sorprendentes de Estados Unidos y España para recolectar credenciales por medio de ataques de superposición aprovechando los servicios de accesibilidad de Android.
En menos de un año, el troyano también actuó como base para otro malware de Android llamado MaliBot, que está diseñado para apuntar a clientes de banca en línea y billeteras de criptomonedas en España e Italia.
La última variante de SOVA, denominada v4 por Cleafy, se oculta dentro de aplicaciones falsas que presentan logotipos de aplicaciones legítimas como Amazon y Google Chrome, con el fin de engañar a los usuarios para que las instalen. Otras mejoras notables incluyen la captura de pantalla y la grabación de las pantallas del dispositivo.
SOVA v4 también se destaca por su esfuerzo para recopilar información confidencial de Binance y Trust Wallet, como saldos de cuentas y frases iniciales. Además, las 13 aplicaciones bancarias rusas y ucranianas que fueron atacadas por el malware se eliminaron de la versión.
Aparte de esto, la actualización permite que el malware aproveche sus amplios permisos para desviar los intentos de desinstalación al redirigir a la víctima a la pantalla de inicio y mostrar el mensaje «Esta aplicación está protegida».
También se espera que el troyano bancario, a pesar de su gran cantidad de funciones, incorpore un componente de ransomware en la próxima iteración, que actualmente se encuentra en desarrollo y tiene como objetivo cifrar todos los archivos almacenados en el dispositivo infectado usando AES y renombrarlos con la extensión «.enc».
También es probable que la mejora haga de SOVA una amenaza formidable en el panorama de amenazas móviles.