S.O.V.A. banking trojan on erittäin kehittynyt haittaohjelmatartunta, joka kohdistuu Android-laitteisiin. Sitä pidetään erittäin vaarallisena infektiona sen laajan ominaisuuksien vuoksi, mukaan lukien tunnistetietojen ja pankkitietojen varastaminen sekä käyttäjien estäminen poistamasta niitä. Se kohdistuu yli 200 mobiilisovellukseen, mukaan lukien pankkisovellukset ja kryptolompakot.

 

SOVA banking trojan

 

SOVA-pankkitroijalainen naamioidaan yleensä laillisiksi sovelluksiksi huijatakseen käyttäjiä asentamaan sen. Käyttäjät voidaan ohjata näihin väärennettyihin/haitallisiin sovelluksiin tahriintuvien kampanjoiden kautta. Kun käyttäjät lataavat ja asentavat väärennetyn Android-sovelluksen, se lähettää luettelon kaikista asennetuista sovelluksista haitallisten toimijoiden ylläpitämälle komento- ja ohjauspalvelimelle (C2). Kun uhkatoimija on hankkinut luettelon kohdennetuista sovelluksista, luettelo kunkin kohdennetun sovelluksen osoitteista lähetetään takaisin troijalaiselle C2: n kautta. Nämä tiedot tallennetaan XML-tiedostoon.

Kun käyttäjät lataavat haitallisen sovelluksen, heille näytetään ikkuna, jossa heitä pyydetään sallimaan sovelluksen esteettömyyslupa. Tämän luvan myöntäminen antaa haittaohjelmalle mahdollisuuden aloittaa haitalliset toimensa. S.O.V.A. banking trojan voi suorittaa erilaisia haitallisia toimia, kuten kirjata näppäinpainalluksia, varastaa evästeitä, siepata monivaiheisia todennusevästeitä, ottaa kuvakaappauksia ja tallentaa videoita, suorittaa tiettyjä toimintoja (näytön napsautuksia, pyyhkäisyjä jne.), Lisätä väärennettyjä peittokuvia sovelluksiin ja jäljitellä pankki- / maksusovelluksia.

Kirjautumistietojen ja maksukorttitietojen varastamiseksi troijalainen näyttää väärennettyjä sivuja. Kun käyttäjät esimerkiksi yrittävät kirjautua pankkitililleen sovelluksen kautta, heille voidaan näyttää peittokuvaikkuna, joka näyttää identtiseltä laillisen ikkunan kanssa. Jos käyttäjät kirjoittavat tietojaan, ne lähetetään troijalaista käyttäville haitallisille toimijoille. Näitä varastettuja tunnistetietoja joko myydään eri hakkerifoorumeilla muille verkkorikollisille, tai haittaohjelmaoperaattorit voivat itse käyttää niitä varastamaan käyttäjien varoja.

Uskotaan myös, että troijalaisen päivitetty versio salaa myös kaikki tiedot Android-laitteella ja ottaa sen käytännössä panttivangiksi. Android-laitteisiin kohdistetut kiristysohjelmat eivät ole kovin yleisiä, joten se on melko epätavallinen ominaisuus.

S.O.V.A. banking trojan voi myös suojautua käyttäjiltä, jotka yrittävät poistaa sen. Kun käyttäjät yrittävät poistaa sovelluksen asennuksen, troijalainen sieppaa tämän toiminnon ja ohjaa käyttäjät aloitusnäyttöön, jossa näkyy viesti ”Sovellus on suojattu”. Tämä voi tehdä S.O.V.A. banking trojan poistamisesta melko hankalaa. Lisäksi tavallisten käyttäjien voi olla vaikea edes huomata troijalaista, koska siinä ei välttämättä ole ilmeisiä merkkejä läsnäolosta. Salamyhkäinen käyttäytyminen voi antaa troijalaiselle mahdollisuuden pysyä asennettuna paljon kauemmin.

Troijalainen kohdistuu yli 200 sovellukseen, mukaan lukien pankki- ja kryptolompakkosovellukset. Se on suunnattu tiettyihin maihin, kuten Australiaan, Brasiliaan, Kiinaan, Intiaan, Filippiineille, Yhdistyneeseen kuningaskuntaan, Venäjälle, Espanjaan ja Italiaan.

Miten jaetaan S.O.V.A. banking trojan ?

Näyttää siltä, että S.O.V.A. banking trojan sitä jaetaan pääasiassa tahraavien (tai tietojenkalastelu tekstiviestien kautta) hyökkäysten kautta. Käyttäjille lähetetään linkkejä, joissa on viestejä, joissa väitetään, että heidän on ladattava sovellus tai päivitys. Tekstiviesti voidaan naamioida näyttämään siltä, että sen on lähettänyt pankki, valtion virasto jne. Puhelinnumeroiden väärentäminen ei ole vaikeaa, joten ne voivat vaikuttaa melko laillisilta. Itse viestit ovat kuitenkin yleensä täynnä kielioppi-/kirjoitusvirheitä, mikä antaa ne heti pois.

Kun käyttäjät napsauttavat näissä viesteissä olevia linkkejä, heidät ohjataan sivustoille, jotka kehottavat heitä lataamaan sovelluksen. On syytä mainita, että pankkien tai minkä tahansa muun laillisen yrityksen / viraston lailliset tekstiviestit eivät koskaan sisällä linkkejä. Jos käyttäjät saavat viestin oletettavasti pankiltaan ja se pyytää käyttäjiä napsauttamaan linkkiä pankkitilinsä eston poistamiseksi, se on haitallinen viesti. Käyttäjien ei pitäisi koskaan napsauttaa tuntemattomia linkkejä, etenkään tekstiviesteissä.

Se piiloutuu myös väärennetyissä sovelluksissa, jotka on tehty näyttämään laillisilta (esim. Google Chrome ). Tämä on yleinen jakelumenetelmä, koska monet käyttäjät eivät ole varovaisia ladatessaan sovelluksia älypuhelimiinsa. Käyttäjät voivat törmätä näihin väärennettyihin sovelluksiin, joita mainostetaan kyseenalaisilla kolmannen osapuolen sovelluskaupoilla tai foorumeilla. Yleensä ei ole suositeltavaa ladata sovelluksia muista kuin virallisista lähteistä, koska se voi johtaa haittaohjelmatartuntaan. Näitä sivustoja hoidetaan usein huonosti, ja niillä ei ole riittäviä turvatoimia. Tämän huonon moderoinnin vuoksi pahantahtoiset toimijat voivat helposti ladata petollisia sovelluksia, joissa on haittaohjelmia.
Haitalliset lataukset ovat yksi syy siihen, miksi käyttäjien tulisi pysyä virallisissa sovelluskaupoissa, kuten Google Play Kaupassa. Google sijoittaa paljon rahaa sovelluskauppansa suojaamiseen, joten mahdollisuudet ladata haitallinen sovellus ovat paljon pienemmät, kun käytät Play Kauppaa. Jopa virallisia kauppoja käytettäessä käyttäjien on kuitenkin oltava varovaisia. Vaikka Play Kauppa olisi huomattavasti turvallisempi kuin mikään kolmannen osapuolen sovelluskauppa, se ei silti ole täydellinen. Haitalliset toimijat käyttävät erilaisia menetelmiä ohittaakseen Googlen turvatoimet, ja ne ovat joskus onnistuneita. Käyttäjien tulee aina lukea arvosteluja, tarkistaa käyttöoikeudet, tutkia kehittäjiä jne. Erityisesti käyttöoikeudet ovat asioita, jotka käyttäjien tulee tarkistaa huolellisesti. Käyttäjien tulisi miettiä, miksi sovellukset pyytävät käyttöoikeuksia, joita he tekevät, ja tarvitsevatko he niitä todella. Jos esimerkiksi mobiilipelisovellus pyytää lupaa käyttää mikrofonia/kameraa, sen pitäisi herättää muutama kysymys. Jos sovellus näyttää jollain tavalla epäilyttävältä, käyttäjien tulee välttää sen lataamista, vaikka se olisi laillisessa kaupassa, kuten Google Playssa.

S.O.V.A. banking trojan poisto

Se S.O.V.A. banking trojan on erittäin hienostunut infektio ja sen poistaminen voi olla erittäin hankalaa. Android-virustorjuntasovellukset tunnistavat troijalaisen, joten on suositeltavaa kokeilla sitä käyttäjille, joiden laitteet ovat saaneet tartunnan. Kuitenkin, jos troijalainen yrittää jatkuvasti estää sen poistamisen, täydellinen tehdasasetusten palautus voi olla tarpeen poistaa S.O.V.A. banking trojan . Se poistaisi kaikki laitteen tiedot, mukaan lukien troijalainen.

Käyttäjille, joiden laitteissa S.O.V.A. banking trojan se on vahvistettu, on erittäin suositeltavaa vaihtaa kaikki salasanat haittaohjelmattomalla laitteella. Lisäksi, jos jonkinlaiset pankkitiedot ovat vaarantuneet, käyttäjien on otettava yhteyttä pankkiinsa tiliensä suojaamiseksi.

SOVA trojan detections

Vastaa