S.O.V.A. banking trojan er en meget sofistikeret malwareinfektion, der er målrettet mod Android-enheder. Det anses for at være en meget farlig infektion på grund af dens brede vifte af muligheder, herunder at stjæle legitimationsoplysninger og bankoplysninger samt forhindre brugere i at fjerne dem. Det er målrettet mod mere end 200 mobilapps, herunder bankapps og kryptotegnebøger.
SOVA banktrojan er normalt forklædt som legitime apps for at narre brugere til at installere den. Brugere kan blive dirigeret til disse falske / ondsindede apps via smishing-kampagner. Når brugere downloader og installerer den falske Android-app, sender den en liste over alle installerede apps til kommando- og kontrolserveren (C2), der drives af de ondsindede aktører. Når trusselsaktøren har erhvervet listen over målrettede applikationer, sendes en liste over adresser for hver målrettet applikation tilbage til trojanen via C2. Disse oplysninger gemmes i en XML-fil.
Når brugere downloader den ondsindede app, får de vist et vindue, der beder dem om at tillade appens tilgængelighedstilladelse. At give denne tilladelse gør det muligt for malware at starte sine ondsindede aktiviteter. S.O.V.A. banking trojan kan udføre en række ondsindede handlinger, herunder logning af tastetryk, stjæle cookies, opfange multifaktorautentificeringscookies, tage skærmbilleder og optage videoer, udføre visse handlinger (skærmklik, swipes osv.), Tilføje falske overlays til apps og efterligne bank- / betalingsapplikationer.
For at stjæle loginoplysninger og betalingskortoplysninger viser trojaneren falske sider. For eksempel, når brugere forsøger at logge ind på deres bankkonto via en app, kan de få vist et overlejringsvindue, der ser identisk ud med det legitime vindue. Hvis brugere indtaster deres oplysninger, det ville blive sendt til de ondsindede aktører, der opererer trojanen. Disse stjålne legitimationsoplysninger sælges ofte enten på forskellige hackerfora for andre cyberkriminelle, eller de kan bruges af malware-operatørerne selv til at stjæle brugernes midler.
Det menes også, at en opdateret version af trojaneren også vil kryptere alle data på en Android-enhed og i det væsentlige tage dem som gidsler. Ransomware rettet mod Android-enheder er ikke særlig almindeligt, så det er en temmelig usædvanlig funktion.
S.O.V.A. banking trojan kan også beskytte sig mod brugere, der forsøger at fjerne det. Når brugere forsøger at afinstallere appen, opfanger trojaneren denne handling og omdirigerer brugere til startskærmen, der viser en meddelelse, der siger “Appen er sikret”. Dette kan gøre S.O.V.A. banking trojan fjernelse temmelig vanskelig. Desuden kan det være svært for almindelige brugere at endda bemærke trojaneren, fordi den muligvis ikke viser nogen tydelige tegn på at være til stede. Stealthy adfærd kan tillade trojanen at forblive installeret i meget længere tid.
Trojanen er målrettet mod over 200 apps, herunder bank- og kryptotegnebogsapps. Det er rettet mod specifikke lande, herunder Australien, Brasilien, Kina, Indien, Filippinerne, Storbritannien, Rusland, Spanien og Italien.
Hvordan distribueres S.O.V.A. banking trojan ?
Det ser ud til, at distribueres S.O.V.A. banking trojan hovedsageligt via smishing (eller phishing via SMS) angreb. Brugere får tilsendt links med meddelelser, der hævder, at de skal downloade en app eller en opdatering. SMS’en kan være forklædt til at se ud som om den blev sendt af en bank, et regeringsorgan osv. Det er ikke svært at forfalske telefonnumre, så de kan virke ret legitime. Beskederne i sig selv er dog normalt fulde af grammatik/stavefejl, som giver dem væk med det samme.
Når brugere klikker på linkene i disse meddelelser, føres de til websteder, der beder dem om at downloade en app. Det er værd at nævne, at legitim SMS fra banker eller andre legitime virksomheder / agenturer aldrig vil indeholde links. Hvis brugere modtager en besked angiveligt fra deres bank, og den beder brugerne om at klikke på linket for at fjerne blokeringen af deres bankkonto, er det en ondsindet besked. Brugere bør aldrig klikke på ukendte links, især i SMS-beskeder.
Det gemmer sig også i falske apps, der er lavet til at fremstå som legitime (f.eks. Google Chrome ). Dette er en almindelig distributionsmetode, fordi mange brugere ikke er forsigtige, når de downloader apps til deres smartphones. Brugere kan støde på disse falske apps, der promoveres på tvivlsomme tredjeparts appbutikker eller fora. Det anbefales generelt ikke at downloade apps fra ikke-officielle kilder, fordi det kan føre til en malwareinfektion. Disse websteder administreres ofte dårligt og har utilstrækkelige sikkerhedsforanstaltninger. På grund af den dårlige moderation kan ondsindede aktører nemt uploade vildledende apps med malware i dem.
Ondsindede downloads er en af grundene til, at brugerne skal holde sig til officielle appbutikker som Google Play Butik. Google investerer mange penge i at gøre sin appbutik sikker, så chancerne for at downloade en ondsindet app er meget slankere, når du bruger Play Butik. Men selv når du bruger officielle butikker, skal brugerne være forsigtige. Selvom Play Butik er betydeligt mere sikker end nogen tredjeparts appbutik, er den stadig ikke perfekt. Ondsindede aktører bruger forskellige metoder til at omgå Googles sikkerhedsforanstaltninger, og de er undertiden vellykkede. Brugere bør altid læse anmeldelser, kontrollere tilladelser, undersøge udviklerne osv. Især tilladelser er noget, brugerne bør kontrollere omhyggeligt. Brugere bør overveje, hvorfor apps anmoder om de tilladelser, de gør, og om de faktisk har brug for dem. For eksempel, hvis en mobilspil-app anmoder om tilladelse til at få adgang til mikrofonen / kameraet, bør det rejse et par spørgsmål. Hvis en app ser mistænkelig ud på nogen måde, bør brugerne undgå at downloade den, selvom den er i en legitim butik som Google Play.
S.O.V.A. banking trojan fjernelse
Det S.O.V.A. banking trojan er en meget sofistikeret infektion, og dens fjernelse kan være meget vanskelig. Android-antivirusapps registrerer trojanen, så det anbefales at prøve det for brugere, hvis enheder er inficeret. Men hvis trojaneren vedvarende forsøger at forhindre dens fjernelse, kan en fuld fabriksnulstilling være nødvendig for at fjerne S.O.V.A. banking trojan . Det ville slette alle data på enheden, inklusive trojaneren.
For brugere, på hvis enheder det S.O.V.A. banking trojan er blevet bekræftet, anbefales det stærkt at ændre alle adgangskoder ved hjælp af en malware-fri enhed. Desuden, hvis nogen form for bankoplysninger er blevet kompromitteret, skal brugerne kontakte deres bank for at sikre deres konti.
