S.O.V.A. banking trojan är en mycket sofistikerad infektion med skadlig kod som riktar sig till Android-enheter. Det anses vara en mycket farlig infektion på grund av dess breda utbud av funktioner, inklusive att stjäla referenser och bankinformation, samt hindra användare från att ta bort den. Den riktar sig till mer än 200 mobilappar, inklusive bankappar och kryptoplånböcker.
SOVA-banktrojanen är vanligtvis förklädd till legitima appar för att lura användare att installera den. Användare kan dirigeras till dessa falska / skadliga appar via smishing-kampanjer. När användare laddar ner och installerar den falska Android-appen skickar den en lista över alla installerade appar till kommando- och kontrollservern (C2) som drivs av de skadliga aktörerna. När hotaktören har förvärvat listan över riktade applikationer skickas en lista med adresser för varje riktad applikation tillbaka till trojanen via C2. Den här informationen lagras i en XML-fil.
När användare laddar ner den skadliga appen visas ett fönster som ber dem att tillåta appens tillgänglighetsbehörighet. Genom att bevilja detta tillstånd kan skadlig programvara starta sina skadliga aktiviteter. S.O.V.A. banking trojan kan utföra en mängd olika skadliga åtgärder, inklusive loggning av tangenttryckningar, stjäla cookies, fånga upp multifaktorautentiseringskakor, ta skärmdumpar och spela in videor, utföra vissa åtgärder (skärmklick, svep, etc.), lägga till falska överlägg till appar och efterlikna bank- / betalningsapplikationer.
För att stjäla inloggningsuppgifter och betalkortsinformation kommer trojanen att visa falska sidor. När användare till exempel försöker logga in på sitt bankkonto via en app kan de visas ett överläggsfönster som ser identiskt ut med det legitima fönstret. Om användare skriver in sin information skulle den skickas till de skadliga aktörerna som driver trojanen. Dessa stulna referenser säljs ofta antingen på olika hackerforum för andra cyberbrottslingar, eller så kan de användas av malwareoperatörerna själva för att stjäla användarnas medel.
Man tror också att en uppdaterad version av trojanen också kommer att kryptera all data på en Android-enhet, vilket i huvudsak tar den som gisslan. Ransomware som riktar sig till Android-enheter är inte särskilt vanligt så det är en ganska ovanlig funktion.
S.O.V.A. banking trojan kan också skydda sig från användare som försöker ta bort den. När användare försöker avinstallera appen avlyssnar trojanen den här åtgärden och omdirigerar användare till startskärmen som visar ett meddelande som säger ”Appen är säkrad”. Detta kan göra S.O.V.A. banking trojan borttagningen ganska knepig. Dessutom kan det vara svårt för vanliga användare att ens märka trojanen eftersom den kanske inte visar några uppenbara tecken på att vara närvarande. Smygande beteende kan göra att trojanen kan förbli installerad mycket längre.
Trojanen riktar sig mot över 200 appar, inklusive bank- och kryptoplånboksappar. Den riktar sig till specifika länder, inklusive Australien, Brasilien, Kina, Indien, Filippinerna, Storbritannien, Ryssland, Spanien och Italien.
Hur distribueras S.O.V.A. banking trojan ?
Det verkar som om det S.O.V.A. banking trojan distribueras huvudsakligen via smishing (eller phishing via SMS) attacker. Användare får länkar med meddelanden som hävdar att de behöver ladda ner en app eller en uppdatering. SMS kan vara förklädd för att se ut som om det skickades av en bank, myndighet etc. Det är inte svårt att förfalska telefonnummer så att de kan verka ganska legitima. Meddelandena i sig är dock vanligtvis fulla av grammatik / stavfel, vilket ger bort dem omedelbart.
När användare klickar på länkarna i dessa meddelanden tas de till webbplatser som uppmanar dem att ladda ner en app. Det är värt att nämna att legitima SMS från banker eller något annat legitimt företag / byrå aldrig kommer att innehålla länkar. Om användare får ett meddelande förmodligen från sin bank och det ber användare att klicka på länken för att avblockera sitt bankkonto är det ett skadligt meddelande. Användare bör aldrig klicka på okända länkar, särskilt i SMS-meddelanden.
Det gömmer sig också i falska appar som är gjorda för att se ut som legitima (t.ex. Google Chrome ). Detta är en vanlig distributionsmetod eftersom många användare inte är försiktiga när de laddar ner appar till sina smartphones. Användare kan stöta på dessa falska appar som marknadsförs i tvivelaktiga appbutiker eller forum från tredje part. Det rekommenderas i allmänhet inte att ladda ner appar från icke-officiella källor eftersom det kan leda till en infektion med skadlig kod. Dessa webbplatser är ofta dåligt hanterade och har otillräckliga säkerhetsåtgärder. På grund av den dåliga modereringen kan skadliga aktörer enkelt ladda upp vilseledande appar med skadlig kod i dem.
Skadliga nedladdningar är en av anledningarna till att användare bör hålla sig till officiella appbutiker som Google Play Store. Google investerar mycket pengar i att göra sin appbutik säker, så chansen att ladda ner en skadlig app är mycket smalare när du använder Play Store. Men även när du använder officiella butiker måste användarna vara försiktiga. Även om Play Store är betydligt säkrare än någon appbutik från tredje part är den fortfarande inte perfekt. Skadliga aktörer använder olika metoder för att kringgå Googles säkerhetsåtgärder, och de är ibland framgångsrika. Användare bör alltid läsa recensioner, kontrollera behörigheter, undersöka utvecklarna etc. Särskilt behörigheter är något som användare bör kontrollera noggrant. Användarna bör överväga varför appar begär de behörigheter som de gör och om de faktiskt behöver dem. Till exempel, om en mobilspelapp begär tillstånd att komma åt mikrofonen / kameran, bör det väcka några frågor. Om en app ser misstänkt ut på något sätt bör användarna undvika att ladda ner den, även om den finns i en legitim butik som Google Play.
S.O.V.A. banking trojan borttagning
Det S.O.V.A. banking trojan är en mycket sofistikerad infektion och dess borttagning kan vara mycket knepig. Android-antivirusappar upptäcker trojanen så det rekommenderas att prova det för användare vars enheter är infekterade. Men om trojanen ihållande försöker förhindra att den tas bort kan en fullständig fabriksåterställning vara nödvändig för att ta bort S.O.V.A. banking trojan . Det skulle ta bort all data på enheten, inklusive trojanen.
För användare på vars enheter de S.O.V.A. banking trojan har bekräftats rekommenderas det starkt att ändra alla lösenord med en enhet utan skadlig kod. Dessutom, om någon form av bankinformation har äventyrats, måste användarna kontakta sin bank för att säkra sina konton.