Троянец под названием S.O.V.A. грозит стать «швейцарским ножом» среди угроз для Android. По крайней мере, его создатели претендуют на разработку универсального вредоноса.

«Русский» троянец

Новый банковский троянец под Android начал атаковать банковские приложения, криптокошельки и приложения пользователей в России, США, Великобритании и др. Троянец носит характерное название SOVA (или S.O.V.A.).

Троянец способен красть персональные данные о пользователях зараженных устройств, в том числе банковские реквизиты (через файлы cookie). Основным инструментом кражи являются overlay-атаки, когда фальшивые окна полностью перекрывают интерфейс устройства. Троянец также способен перехватывать нажатия экранных клавиш, скрывать уведомления и модифицировать буфер обмена, чтобы подменять адреса криптокошельков.

Злоумышленники обещают в дальнейшем добавить мошеннические функции, использующие технологии удаленного управления экраном (VNC), возможности организовывать DDoS-атаки, загрузку шифровальщиков и перехват токенов двухфакторной авторизации.



«Русский» троянец начал атаковать жертв до выхода из тестовой стадии

Троянец также способен проверять, не запускают ли его в эмулированной среде — очевидно, с целью избежать анализа со стороны экспертов по безопасности.

Вредонос обнаружили в начале августа 2021 г. эксперты амстердамской компании ThreatFabric. Они указывают, что вектор развития вредоноса может сделать его одной из самых продвинутых и опасных киберугроз среди банковских троянцев в мире.

Активно рекламируется

Авторы троянца уже вовсю рекламируют его на русскоязычных хакерских форумах, подчеркивая, что программа написана с нуля, и что, помимо троянских функций, S.O.V.A. выполняет роль бота. «Это не переделка Cerberus/Anubis, бот написан с нуля», — говорится в объявлении на форуме. Там же перечисляются планы разработчика.

«S.O.V.A. — проект, который пока находится на ранних стадиях, но уже предлагает ту же функциональность, что и другие современные банковские троянцы под Android. При этом у автора этого бота явно очень высокие амбиции, о чем свидетельствует и желание тестировать S.O.V.A. на стороне и запланированная функциональность», — отмечается в публикации ThreatFabric.

Характерно, однако, что бота детектирует множество антивирусов. Как прокомментировали специалисты ThreatFabric в Twitter, программа «очень хорошо написана», однако в ней «отсутствуют некоторые очевидные методики упаковки (обфускации)», что, вероятно, будет исправлено в ближайшее время.

Хотя вредонос находится на тестовой стадии, уже наблюдается как минимум одна кампания против различных банков и криптокошельков.

«По всей вероятности, кто-то собирается сделать “швейцарский нож”, который позволит обчищать и криптокошельки, и банковские аккаунты, и устраивать любые другие атаки, в общем, пакостить всеми возможными способами, — полагаетМихаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Ошибкой злоумышленников стала слишком ранняя реклама этого вредоноса: застать пользователей и экспертов по информбезопасности врасплох теперь не получится. Добавление средств обфускации затруднит его обнаружение, но вряд ли в критичной степени».

Источник https://safe.cnews.ru/news/top/2021-...o_mira_navisla