S.O.V.A. banking trojan je vysoce sofistikovaná malwarová infekce, která cílí na zařízení Android. Je považována za velmi nebezpečnou infekci kvůli své široké škále schopností, včetně krádeže přihlašovacích údajů a bankovních informací, stejně jako zabránění uživatelům v jejich odstranění. Zaměřuje se na více než 200 mobilních aplikací, včetně bankovních aplikací a krypto peněženek.
Bankovní trojan SOVA je obvykle maskován jako legitimní aplikace, aby přiměl uživatele k jeho instalaci. Uživatelé mohou být na tyto falešné /škodlivé aplikace přesměrováni prostřednictvím kampaní na podporu šíření. Když uživatelé stáhnou a nainstalují falešnou aplikaci pro Android, odešle seznam všech nainstalovaných aplikací na příkazový a řídicí server (C2) provozovaný škodlivými herci. Když aktér hrozeb získá seznam cílových aplikací, je seznam adres pro každou cílovou aplikaci odeslán zpět trojskému koni prostřednictvím C2. Tyto informace jsou uloženy v souboru XML.
Když si uživatelé stáhnou škodlivou aplikaci, zobrazí se jim okno s žádostí o povolení oprávnění k usnadnění přístupu k aplikaci. Udělení tohoto oprávnění umožňuje malwaru zahájit škodlivé aktivity. S.O.V.A. banking trojan může provádět různé škodlivé akce, včetně protokolování stisknutí kláves, krádeže souborů cookie, zachycení souborů cookie vícefaktorového ověřování, pořizování snímků obrazovky a nahrávání videí, provádění určitých akcí (kliknutí na obrazovku, přejetí prstem atd.), Přidávání falešných překryvů do aplikací a napodobování bankovních / platebních aplikací.
Za účelem krádeže přihlašovacích údajů a informací o platební kartě bude trojský kůň zobrazovat falešné stránky. Když se například uživatelé pokusí přihlásit ke svému bankovnímu účtu prostřednictvím aplikace, může se jim zobrazit překryvné okno, které vypadá stejně jako legitimní okno. Pokud uživatelé zadají své informace, budou odeslány škodlivým aktérům, kteří používají trojského koně. Tyto ukradené přihlašovací údaje jsou často buď prodávány na různých hackerských fórech pro jiné počítačové zločince, nebo mohou být použity samotnými provozovateli malwaru ke krádeži finančních prostředků uživatelů.
Předpokládá se také, že aktualizovaná verze trojského koně bude také šifrovat všechna data na zařízení Android, v podstatě je vezme jako rukojmí. Ransomware zaměřený na zařízení Android není příliš běžný, takže je to docela neobvyklá funkce.
S.O.V.A. banking trojan může se také chránit před uživateli, kteří se jej pokoušejí odstranit. Když se uživatelé pokusí aplikaci odinstalovat, trojský kůň tuto akci zachytí a přesměruje uživatele na domovskou obrazovku, která zobrazí zprávu „Aplikace je zabezpečena“. To může způsobit, že S.O.V.A. banking trojan odstranění bude docela složité. Kromě toho může být pro běžné uživatele obtížné si trojského koně vůbec všimnout, protože nemusí vykazovat žádné zjevné známky přítomnosti. Nenápadné chování může umožnit, aby trojský kůň zůstal nainstalován mnohem déle.
Trojský kůň se zaměřuje na více než 200 aplikací, včetně bankovních aplikací a aplikací krypto peněženky. Zaměřuje se na konkrétní země, včetně Austrálie, Brazílie, Číny, Indie, Filipín, Velké Británie, Ruska, Španělska a Itálie.
Jak se S.O.V.A. banking trojan distribuuje?
Zdá se, že S.O.V.A. banking trojan je distribuován hlavně prostřednictvím útoků smishing (nebo phishing prostřednictvím SMS). Uživatelům jsou zasílány odkazy se zprávami, že potřebují stáhnout aplikaci nebo aktualizaci. SMS může být maskovaná tak, aby vypadala, jako by byla odeslána bankou, vládní agenturou atd. Není těžké zfalšovat telefonní čísla, takže se mohou zdát docela legitimní. Samotné zprávy jsou však obvykle plné gramatických / pravopisných chyb, což je okamžitě prozrazuje.
Když uživatelé kliknou na odkazy v těchto zprávách, jsou přesměrováni na weby, které je vyzývají ke stažení aplikace. Za zmínku stojí, že legitimní SMS od bank nebo jiné legitimní společnosti / agentury nikdy nebudou obsahovat odkazy. Pokud uživatelé obdrží zprávu údajně od své banky a požádá uživatele, aby klikli na odkaz, aby odblokovali svůj bankovní účet, je to škodlivá zpráva. Uživatelé by nikdy neměli klikat na neznámé odkazy, zejména v SMS zprávách.
Skrývá se také ve falešných aplikacích, které jsou vytvořeny tak, aby vypadaly jako legitimní (např. Google Chrome ). Jedná se o běžnou metodu distribuce, protože mnoho uživatelů není při stahování aplikací do svých smartphonů opatrných. Uživatelé mohou narazit na tyto falešné aplikace, které jsou propagovány na pochybných obchodech s aplikacemi nebo fórech třetích stran. Obecně se nedoporučuje stahovat aplikace z neoficiálních zdrojů, protože by to mohlo vést k infekci malwarem. Tyto stránky jsou často špatně spravovány a mají nedostatečná bezpečnostní opatření. Kvůli této špatné moderování mohou škodliví herci snadno nahrávat klamavé aplikace s malwarem v nich.
Škodlivé stahování je jedním z důvodů, proč by se uživatelé měli držet oficiálních obchodů s aplikacemi, jako je Obchod Google Play. Google investuje spoustu peněz do zabezpečení svého obchodu s aplikacemi, takže šance na stažení škodlivé aplikace jsou při používání Obchodu Play mnohem menší. Nicméně i při použití oficiálních obchodů musí být uživatelé opatrní. I když je Obchod Play výrazně bezpečnější než jakýkoli obchod s aplikacemi třetích stran, stále není dokonalý. Škodliví aktéři používají různé metody k obejití bezpečnostních opatření společnosti Google a někdy jsou úspěšní. Uživatelé by měli vždy číst recenze, kontrolovat oprávnění, zkoumat vývojáře atd. Zejména oprávnění jsou něco, co by uživatelé měli pečlivě zkontrolovat. Uživatelé by měli zvážit, proč aplikace požadují oprávnění, která dělají, a zda je skutečně potřebují. Pokud například mobilní herní aplikace požaduje oprávnění k přístupu k mikrofonu / kameře, mělo by to vyvolat několik otázek. Pokud aplikace vypadá podezřele jakýmkoli způsobem, uživatelé by se měli vyhnout jejímu stahování, i když je v legitimním obchodě, jako je Google Play.
S.O.V.A. banking trojan odstranění
Jedná se S.O.V.A. banking trojan o velmi sofistikovanou infekci a její odstranění může být velmi složité. Antivirové aplikace pro Android detekují trojského koně, takže se doporučuje vyzkoušet to pro uživatele, jejichž zařízení jsou infikována. Pokud se však trojský kůň trvale pokouší zabránit jeho odstranění, může být k odebrání S.O.V.A. banking trojan programu nutné úplné obnovení továrního nastavení. To by odstranilo všechna data v zařízení, včetně trojského koně.
Pro uživatele, na jejichž zařízeních S.O.V.A. banking trojan bylo potvrzeno, důrazně doporučujeme změnit všechna hesla pomocí zařízení bez malwaru. Kromě toho, pokud byly ohroženy jakékoli bankovní informace, uživatelé musí kontaktovat svou banku, aby zabezpečili své účty.
