SOVA atakuje Androida i kradnie pieniądze. To trojan bankowy, ale nie tylko

O szczegółach oprogramowania SOVA informuje ThreatPost na podstawie analizy Threat Fabric. SOVA to przede wszystkim trojan bankowy, ale na wczesnym etapie rozwoju. Już teraz wiadomo jednak, że w praktyce może być najbardziej rozbudowanym szkodliwym oprogramowaniem na Androida. Docelowo ma łączyć w sobie keyloggera, mechanizmy pomagające przeprowadzać ataki DDoS oraz funkcje typowe dla ransomware'u.

Dla użytkownika w praktyce największym zagrożeniem może być aspekt związany z bankowością. SOVA, potrafiąc odczytywać zawartość ekranu smartfonu, zdolna jest przejąć dane logowania do aplikacji bankowych, a potem przekazać je atakującym. Jak łatwo się domyślić, to otwarta droga do kradzieży pieniędzy z konta ofiary.

Na tym jednak możliwości oprogramowania się nie kończą. Dzięki żądaniu szeregu uprawnień przy pierwszym uruchomieniu, SOVA docelowo potrafi między innymi:

• wykradać dane z pamięci smartfonu,
• wysyłać wiadomości SMS,
• przechwytywać wszystkie znaki wpisywane przez klawiaturę,
• usuwać dowolne aplikacje,
• wyświetlać ekranowe nakładki (także "kilkuetapowe"),
• przechwytywać dane kart płatniczych.

Docelowo funkcjonalność malware'u SOVA ma być jeszcze większa i obejmować między innymi: manipulację systemowym schowkiem, automatyczne wstrzykiwanie spreparowanych ciasteczek, ataki DDoS oraz "Man in the Middle" czy wyświetlanie powiadomień push. Słowem - komplet narzędzi, który pozwoli atakującym w dowolny sposób manipulować urządzeniami ofiar i narażać je na szeroko rozumiane problemy.

Na tę chwilę skala zakażeń oprogramowaniem SOVA wydaje się niewielka, ale należy pamiętać, że jest to stosunkowo nowy malware. Obecnie zagrożeni są głównie użytkownicy z USA i Hiszpanii - twórcy deklarują, że posiadają już nakładki udające aplikacje bankowe w tych krajach. Stworzenie kolejnych jest jednak tylko kwestią czasu, więc niebawem SOVA będzie zagrażać wszystkim użytkownikom Androida.