SOVA è un trojan bancario per Android che circola da settembre 2021. Il suo autore afferma che è ancora in sviluppo, ma gli esperti di Cleafy hanno già scoperto versioni del malware con nuove funzionalità, tra cui la possibilità di installare ransomware. Per proteggere il dispositivo mobile contro questa e altre minacce informatiche è sempre consigliato l’uso di una soluzione di sicurezza. Tra le più efficaci c’è Avast Premium Security, compatibile con Windows, macOS, Android e iOS.
SOVA: malware in continuo aggiornamento
L’autore di SOVA aveva pubblicato la roadmap su un forum del dark web. I ricercatori di Cleafy hanno scoperto a marzo 2022 la versione 3 che include nuove funzionalità, tra cui l’intercettazione dei codici 2FA (autenticazione in due fattori), il furto dei cookie e la visualizzazione di schermate di login simili a quelle delle app bancarie. Altre novità sono state introdotte con la versione 4 in circolazione da maggio 2022.
Il malware si nasconde alla vista dell’utente mostrando icone fasulle (ad esempio quelle di Amazon e Chrome). SOVA v4 può inoltre effettuare l’accesso remoto tramite VNC, scattare screenshot, raccogliere informazioni sensibili (password, dati di pagamento e altri) e simulare alcune gesture (tap e swipe). Può inoltre inviare l’elenco delle app installate al server C2 (command and control).
Un nuovo modulo permette di rubare la chiave segreta di Binance e accedere al wallet delle criptovalute. La versione 4 include anche nuovi meccanismi di protezione che impediscono all’utente di rimuovere l’app infetta. Gli esperti di Cleafy hanno già individuato versioni preliminari di SOVA v5. La principale novità è rappresentata dal modulo ransomware. Questa funzionalità si trova raramente nei trojan bancari. È chiara quindi l’intenzione dei cybercriminali di ottenere maggiori profitti dal loro lavoro.