S.O.V.A. banking trojan je vysoko sofistikovaná malvérová infekcia, ktorá sa zameriava na zariadenia s Androidom. Považuje sa za veľmi nebezpečnú infekciu kvôli širokej škále možností vrátane krádeže poverení a bankových informácií, ako aj bránenia používateľom v ich odstraňovaní. Zameriava sa na viac ako 200 mobilných aplikácií vrátane bankových aplikácií a krypto peňaženiek.
Bankový trójsky kôň SOVA je zvyčajne maskovaný ako legitímne aplikácie, aby oklamal používateľov, aby si ho nainštalovali. Používatelia môžu byť nasmerovaní na tieto falošné/škodlivé aplikácie prostredníctvom smishingových kampaní. Keď si používatelia stiahnu a nainštalujú falošnú aplikáciu pre Android, odošle zoznam všetkých nainštalovaných aplikácií na príkazový a riadiaci server (C2) prevádzkovaný škodlivými aktérmi. Keď aktér hrozby získa zoznam cielených aplikácií, zoznam adries pre každú cielenú aplikáciu sa odošle späť do trójskeho koňa prostredníctvom C2. Tieto informácie sú uložené v súbore XML.
Keď si používatelia stiahnu škodlivú aplikáciu, zobrazí sa im okno so žiadosťou o povolenie prístupnosti aplikácie. Udelenie tohto povolenia umožňuje malvéru spustiť škodlivé aktivity. S.O.V.A. banking trojan môže vykonávať rôzne škodlivé akcie vrátane zaznamenávania stlačení klávesov, krádeže súborov cookie, zachytávania súborov cookie s viacerými faktormi, snímania snímok obrazovky a nahrávania videí, vykonávania určitých akcií (kliknutia na obrazovku, potiahnutia prstom atď.), pridávania falošných prekrytí do aplikácií a napodobňovania bankových / platobných aplikácií.
S cieľom ukradnúť prihlasovacie údaje a informácie o platobnej karte bude trójsky kôň zobrazovať falošné stránky. Napríklad, keď sa používatelia pokúsia prihlásiť do svojho bankového účtu prostredníctvom aplikácie, môže sa im zobraziť prekryvné okno, ktoré vyzerá rovnako ako legitímne okno. Ak používatelia zadajú svoje informácie, budú odoslané škodlivým aktérom prevádzkujúcim trójsky kôň. Tieto ukradnuté poverenia sa často predávajú buď na rôznych hackerských fórach pre iných kyberzločincov, alebo ich môžu použiť samotní prevádzkovatelia škodlivého softvéru na krádež finančných prostriedkov používateľov.
Tiež sa verí, že aktualizovaná verzia trójskeho koňa bude tiež šifrovať všetky údaje na zariadení s Androidom a v podstate ho vezme ako rukojemníka. Ransomvér zameraný na zariadenia s Androidom nie je veľmi bežný, takže je to dosť nezvyčajná funkcia.
S.O.V.A. banking trojan môže sa tiež chrániť pred používateľmi, ktorí sa ho pokúšajú odstrániť. Keď sa používatelia pokúsia aplikáciu odinštalovať, trójsky kôň zachytí túto akciu a presmeruje používateľov na domovskú obrazovku, na ktorej sa zobrazí správa “Aplikácia je zabezpečená”. To môže spôsobiť, že S.O.V.A. banking trojan odstránenie bude dosť zložité. Okrem toho môže byť pre bežných používateľov ťažké čo i len všimnúť si trójsky kôň, pretože nemusí vykazovať žiadne zjavné známky prítomnosti. Nenápadné správanie môže umožniť, aby trójsky kôň zostal nainštalovaný oveľa dlhšie.
Trójsky kôň sa zameriava na viac ako 200 aplikácií vrátane bankových aplikácií a aplikácií krypto peňaženiek. Zameriava sa na konkrétne krajiny vrátane Austrálie, Brazílie, Číny, Indie, Filipín, Spojeného kráľovstva, Ruska, Španielska a Talianska.
Ako sa distribuuje S.O.V.A. banking trojan ?
Zdá sa, že S.O.V.A. banking trojan je distribuovaný hlavne prostredníctvom smishingových (alebo phishingových cez SMS) útoky. Používateľom sa odosielajú odkazy so správami, ktoré tvrdia, že si musia stiahnuť aplikáciu alebo aktualizáciu. SMS môže byť zamaskovaná tak, aby vyzerala, akoby ju poslala banka, vládna agentúra atď. Nie je ťažké sfalšovať telefónne čísla, aby sa mohli zdať celkom legitímne. Samotné správy sú však zvyčajne plné gramatických/pravopisných chýb, ktoré ich okamžite prezradia.
Keď používatelia kliknú na odkazy v týchto správach, presmerujú sa na stránky s výzvou na stiahnutie aplikácie. Stojí za zmienku, že legitímne SMS od bánk alebo akejkoľvek inej legitímnej spoločnosti / agentúry nikdy nebudú obsahovať odkazy. Ak používatelia dostanú správu údajne od svojej banky a požiadajú používateľov, aby klikli na odkaz, aby odblokovali svoj bankový účet, ide o škodlivú správu. Používatelia by nikdy nemali klikať na neznáme odkazy, najmä v SMS správach.
Skrýva sa tiež vo falošných aplikáciách, ktoré sú vytvorené tak, aby vyzerali ako legitímne (napr. Google Chrome ). Toto je bežná metóda distribúcie, pretože mnohí používatelia nie sú opatrní pri sťahovaní aplikácií do svojich smartfónov. Používatelia môžu naraziť na to, že tieto falošné aplikácie sú propagované v pochybných obchodoch s aplikáciami alebo fórach tretích strán. Vo všeobecnosti sa neodporúča sťahovať aplikácie z neoficiálnych zdrojov, pretože by to mohlo viesť k infekcii škodlivým softvérom. Tieto stránky sú často zle spravované a majú nedostatočné bezpečnostné opatrenia. Kvôli tejto zlej moderovaniu môžu zlomyseľní aktéri ľahko nahrávať klamlivé aplikácie so škodlivým softvérom.
Škodlivé sťahovanie je jedným z dôvodov, prečo by sa používatelia mali držať oficiálnych obchodov s aplikáciami, ako je Obchod Google Play. Google investuje veľa peňazí do zabezpečenia svojho obchodu s aplikáciami, takže šance na stiahnutie škodlivej aplikácie sú pri používaní Obchodu Play oveľa menšie. Avšak aj pri používaní oficiálnych obchodov musia byť používatelia opatrní. Aj keď je Obchod Play výrazne bezpečnejší ako ktorýkoľvek iný obchod s aplikáciami tretích strán, stále nie je dokonalý. Zlomyseľní aktéri používajú rôzne metódy na obídenie bezpečnostných opatrení Googlu a niekedy sú úspešní. Používatelia by si mali vždy prečítať recenzie, skontrolovať povolenia, preskúmať vývojárov atď. Najmä povolenia sú niečo, čo by používatelia mali starostlivo skontrolovať. Používatelia by mali zvážiť, prečo aplikácie žiadajú o povolenia, ktoré požadujú, a či ich skutočne potrebujú. Ak napríklad aplikácia pre mobilné hry žiada o povolenie na prístup k mikrofónu/kamere, malo by to vyvolať niekoľko otázok. Ak aplikácia vyzerá akýmkoľvek spôsobom podozrivo, používatelia by sa mali vyhnúť jej stiahnutiu, a to aj v prípade, že sa nachádza v legitímnom obchode, ako je Google Play.
S.O.V.A. banking trojan odstránenie
Ide S.O.V.A. banking trojan o veľmi sofistikovanú infekciu a jej odstránenie môže byť veľmi zložité. Antivírusové aplikácie pre Android detekujú trójsky kôň, preto sa odporúča vyskúšať to pre používateľov, ktorých zariadenia sú infikované. Ak sa však trójsky kôň vytrvalo snaží zabrániť jeho odstráneniu, na odstránenie môže byť potrebné úplné obnovenie továrenských nastavení S.O.V.A. banking trojan . Tým by sa odstránili všetky údaje v zariadení vrátane trójskeho koňa.
Pre používateľov, na ktorých zariadeniach S.O.V.A. banking trojan bola potvrdená, sa dôrazne odporúča zmeniť všetky heslá pomocou zariadenia bez škodlivého softvéru. Okrem toho, ak bol ohrozený akýkoľvek druh bankových informácií, používatelia sa musia obrátiť na svoju banku, aby si zabezpečili svoje účty.