S.O.V.A. banking trojan هي إصابة ببرامج ضارة متطورة للغاية تستهدف أجهزة Android. تعتبر عدوى خطيرة للغاية بسبب مجموعة واسعة من القدرات ، بما في ذلك سرقة بيانات الاعتماد والمعلومات المصرفية ، وكذلك منع المستخدمين من إزالتها. وهو يستهدف أكثر من 200 تطبيق جوال، بما في ذلك التطبيقات المصرفية ومحافظ التشفير.

 

SOVA banking trojan

 

عادة ما يتم إخفاء حصان طروادة SOVA المصرفي كتطبيقات مشروعة من أجل خداع المستخدمين لتثبيته. قد يتم توجيه المستخدمين إلى هذه التطبيقات المزيفة / الضارة عبر حملات التشهير. عندما يقوم المستخدمون بتنزيل تطبيق Android المزيف وتثبيته ، فإنه يرسل قائمة بجميع التطبيقات المثبتة إلى خادم القيادة والتحكم (C2) الذي تديره الجهات الفاعلة الضارة. عندما يحصل ممثل التهديد على قائمة التطبيقات المستهدفة ، يتم إرسال قائمة بالعناوين لكل تطبيق مستهدف إلى حصان طروادة عبر C2. يتم تخزين هذه المعلومات في ملف XML.

عندما يقوم المستخدمون بتنزيل التطبيق الضار، ستظهر لهم نافذة تطلب منهم السماح بإذن إمكانية الوصول إلى التطبيق. يسمح منح هذا الإذن للبرامج الضارة ببدء أنشطتها الضارة. S.O.V.A. banking trojan يمكن تنفيذ مجموعة متنوعة من الإجراءات الضارة ، بما في ذلك تسجيل ضغطات المفاتيح ، وسرقة ملفات تعريف الارتباط ، واعتراض ملفات تعريف ارتباط المصادقة متعددة العوامل ، والتقاط لقطات الشاشة وتسجيل مقاطع الفيديو ، وتنفيذ إجراءات معينة (نقرات الشاشة ، والتمرير السريع ، وما إلى ذلك) ، وإضافة تراكبات مزيفة إلى التطبيقات ، ومحاكاة تطبيقات الخدمات المصرفية / الدفع.

من أجل سرقة بيانات اعتماد تسجيل الدخول ومعلومات بطاقة الدفع ، سيعرض حصان طروادة صفحات مزيفة. على سبيل المثال، عندما يحاول المستخدمون تسجيل الدخول إلى حسابهم المصرفي عبر أحد التطبيقات، قد تظهر لهم نافذة تراكب تبدو مطابقة للنافذة الشرعية. إذا كتب المستخدمون معلوماتهم ، إرسالها إلى الجهات الفاعلة الضارة التي تشغل حصان طروادة. غالبا ما يتم بيع بيانات الاعتماد المسروقة هذه إما في منتديات القراصنة المختلفة لمجرمي الإنترنت الآخرين ، أو قد يتم استخدامها من قبل مشغلي البرامج الضارة أنفسهم لسرقة أموال المستخدمين.

ويعتقد أيضا أن نسخة محدثة من حصان طروادة ستقوم أيضا بتشفير جميع البيانات الموجودة على جهاز Android ، مما يجعلها رهينة بشكل أساسي. برامج الفدية التي تستهدف أجهزة Android ليست شائعة جدا ، لذا فهي ميزة غير عادية جدا.

S.O.V.A. banking trojan يمكن أيضا حماية نفسها من المستخدمين الذين يحاولون إزالتها. عندما يحاول المستخدمون إلغاء تثبيت التطبيق، يعترض حصان طروادة هذا الإجراء ويعيد توجيه المستخدمين إلى الشاشة الرئيسية التي تعرض رسالة تقول “التطبيق آمن”. هذا يمكن أن يجعل S.O.V.A. banking trojan الإزالة صعبة للغاية. علاوة على ذلك ، قد يكون من الصعب على المستخدمين العاديين حتى ملاحظة حصان طروادة لأنه قد لا يظهر أي علامات واضحة على وجوده. قد يسمح السلوك الخفي لحصان طروادة بالبقاء مثبتا لفترة أطول.

يستهدف حصان طروادة أكثر من 200 تطبيق ، بما في ذلك التطبيقات المصرفية ومحفظة التشفير. وهو يستهدف بلدانا محددة، بما في ذلك أستراليا والبرازيل والصين والهند والفلبين والمملكة المتحدة وروسيا وإسبانيا وإيطاليا.

كيف يتم S.O.V.A. banking trojan توزيعها؟

يبدو أنه S.O.V.A. banking trojan يتم توزيعه بشكل رئيسي عبر هجمات smishing (أو التصيد الاحتيالي عبر الرسائل القصيرة). يتم إرسال روابط للمستخدمين مع رسائل تدعي أنهم بحاجة إلى تنزيل تطبيق أو تحديث. قد تكون الرسائل القصيرة مخفية لتبدو وكأنها أرسلت من قبل بنك أو وكالة حكومية ، إلخ. ليس من الصعب انتحال أرقام الهواتف حتى تبدو مشروعة إلى حد ما. ومع ذلك ، فإن الرسائل نفسها عادة ما تكون مليئة بالأخطاء النحوية / الإملائية ، مما يمنحها على الفور.

عندما ينقر المستخدمون على الروابط الموجودة في هذه الرسائل ، يتم نقلهم إلى مواقع تطالبهم بتنزيل تطبيق. تجدر الإشارة إلى أن الرسائل القصيرة المشروعة من البنوك أو أي شركة / وكالة شرعية أخرى لن تحتوي أبدا على روابط. إذا تلقى المستخدمون رسالة يفترض أنها من البنك الذي يتعاملون معه وطلبت من المستخدمين النقر على الرابط لإلغاء حظر حساباتهم المصرفية، فهذه رسالة ضارة. يجب على المستخدمين عدم النقر فوق روابط غير معروفة ، خاصة في رسائل SMS.

كما أنه يختبئ في التطبيقات المزيفة التي يتم إنشاؤها لتظهر وكأنها تطبيقات مشروعة (على سبيل المثال Google Chrome ). هذه طريقة توزيع شائعة لأن العديد من المستخدمين ليسوا حذرين عند تنزيل التطبيقات على هواتفهم الذكية. قد يصادف المستخدمون هذه التطبيقات المزيفة التي يتم الترويج لها في متاجر التطبيقات أو المنتديات التابعة لجهات خارجية مشكوك فيها. لا ينصح عموما بتنزيل التطبيقات من مصادر غير رسمية لأنها قد تؤدي إلى الإصابة بالبرامج الضارة. وغالبا ما تدار هذه المواقع إدارة سيئة ولا تتخذ تدابير أمنية كافية. وبسبب هذا الإشراف الضعيف، يمكن للجهات الفاعلة الضارة تحميل التطبيقات الخادعة بسهولة مع وجود برامج ضارة فيها.
تعد التنزيلات الضارة أحد الأسباب التي تجعل المستخدمين يلتزمون بمتاجر التطبيقات الرسمية مثل متجر Google Play. تستثمر Google الكثير من المال في جعل متجر التطبيقات الخاص بها آمنا ، وبالتالي فإن فرص تنزيل تطبيق ضار تكون أقل بكثير عند استخدام متجر Play. ومع ذلك ، حتى عند استخدام المتاجر الرسمية ، يجب على المستخدمين توخي الحذر. حتى لو كان متجر Play أكثر أمانا بكثير من أي متجر تطبيقات تابع لجهة خارجية ، فإنه لا يزال غير مثالي. تستخدم الجهات الفاعلة الضارة طرقا مختلفة لتجاوز تدابير الأمان الخاصة ب Google ، وهي ناجحة في بعض الأحيان. يجب على المستخدمين دائما قراءة المراجعات ، والتحقق من الأذونات ، والبحث عن المطورين ، وما إلى ذلك. الأذونات على وجه الخصوص هي شيء يجب على المستخدمين التحقق منه بعناية. يجب على المستخدمين التفكير في سبب طلب التطبيقات للأذونات التي يقومون بها وما إذا كانوا بحاجة إليها بالفعل. على سبيل المثال ، إذا كان تطبيق ألعاب الجوال يطلب إذنا للوصول إلى الميكروفون / الكاميرا ، فيجب أن يثير ذلك بعض الأسئلة. إذا كان التطبيق يبدو مشبوها بأي شكل من الأشكال، فيجب على المستخدمين تجنب تنزيله، حتى لو كان على متجر شرعي مثل Google Play.

S.O.V.A. banking trojan عزل

إنها S.O.V.A. banking trojan عدوى متطورة للغاية ويمكن أن تكون إزالتها صعبة للغاية. تكتشف تطبيقات مكافحة الفيروسات التي تعمل بنظام Android حصان طروادة ، لذا يوصى بتجربة ذلك للمستخدمين الذين تصاب أجهزتهم بالعدوى. ومع ذلك ، إذا حاول حصان طروادة باستمرار منع إزالته ، فقد يكون من الضروري إعادة ضبط المصنع بالكامل لإزالة S.O.V.A. banking trojan . سيؤدي ذلك إلى حذف جميع البيانات الموجودة على الجهاز ، بما في ذلك حصان طروادة.

بالنسبة للمستخدمين الذين تم تأكيد استخدام أجهزتهم S.O.V.A. banking trojan ، يوصى بشدة بتغيير جميع كلمات المرور باستخدام جهاز خال من البرامج الضارة. علاوة على ذلك ، إذا تم اختراق أي نوع من المعلومات المصرفية ، فيجب على المستخدمين الاتصال بمصرفهم من أجل تأمين حساباتهم.

SOVA trojan detections

أضف تعليق