S.O.V.A. banking trojan egy rendkívül kifinomult rosszindulatú programfertőzés, amely Android-eszközöket céloz meg. Nagyon veszélyes fertőzésnek tekintik széles körű képességei miatt, beleértve a hitelesítő adatok és a banki információk ellopását, valamint annak megakadályozását, hogy a felhasználók eltávolítsák azokat. Több mint 200 mobilalkalmazást céloz meg, beleértve a banki alkalmazásokat és a kriptotárcákat.
A SOVA banki trójai általában legitim alkalmazásoknak álcázzák, hogy becsapják a felhasználókat a telepítésbe. A felhasználókat ezekhez a hamis/rosszindulatú alkalmazásokhoz irányíthatjuk smishing kampányokon keresztül. Amikor a felhasználók letöltik és telepítik a hamis Android-alkalmazást, az elküldi az összes telepített alkalmazás listáját a rosszindulatú szereplők által működtetett parancs – vezérlő szerverre (C2). Amikor a fenyegetés szereplője megszerezte a célzott alkalmazások listáját, az egyes célzott alkalmazások címeinek listáját a C2-n keresztül visszaküldi a trójainak. Ezeket az információkat egy XML-fájl tárolja.
Amikor a felhasználók letöltik a rosszindulatú alkalmazást, megjelenik egy ablak, amely arra kéri őket, hogy engedélyezzék az alkalmazás kisegítő lehetőségeit. Ennek az engedélynek a megadása lehetővé teszi a rosszindulatú program számára, hogy elindítsa rosszindulatú tevékenységeit. S.O.V.A. banking trojan különféle rosszindulatú műveleteket hajthat végre, beleértve a billentyűleütések naplózását, a cookie-k ellopását, a többtényezős hitelesítési cookie-k elfogását, képernyőképek készítését és videók rögzítését, bizonyos műveletek végrehajtását (képernyőkattintások, csúsztatások stb.), Hamis fedvények hozzáadását az alkalmazásokhoz, valamint a banki/fizetési alkalmazások utánzását.
A bejelentkezési adatok és a fizetési kártya adatainak ellopása érdekében a trójai hamis oldalakat jelenít meg. Ha például a felhasználók egy alkalmazáson keresztül próbálnak bejelentkezni a bankszámlájukra, előfordulhat, hogy egy átfedési ablak jelenik meg, amely megegyezik a megfelelő ablakkal. Ha a felhasználók beírják az adataikat, azokat elküldik a trójait működtető rosszindulatú szereplőknek. Ezeket az ellopott hitelesítő adatokat gyakran vagy különböző hacker fórumokon értékesítik más kiberbűnözők számára, vagy maguk a rosszindulatú programok üzemeltetői használhatják fel őket a felhasználók pénzeszközeinek ellopására.
Azt is hitték, hogy a trójai frissített verziója titkosítja az összes adatot egy Android-eszközön, lényegében túszul ejtve azt. Az Android-eszközöket célzó Ransomware nem túl gyakori, ezért ez egy elég szokatlan funkció.
S.O.V.A. banking trojan megvédheti magát attól is, hogy a felhasználók megpróbálják eltávolítani. Amikor a felhasználók megpróbálják eltávolítani az alkalmazást, a trójai elfogja ezt a műveletet, és átirányítja a felhasználókat a kezdőképernyőre, amelyen egy üzenet jelenik meg: “Az alkalmazás biztonságos”. Ez elég bonyolulttá teheti S.O.V.A. banking trojan az eltávolítást. Ezenkívül a rendszeres felhasználók számára nehéz lehet észrevenni a trójai programot, mert előfordulhat, hogy nem mutatja a jelenlét nyilvánvaló jeleit. A lopakodó viselkedés lehetővé teheti, hogy a trójai sokkal hosszabb ideig telepítve maradjon.
A trójai több mint 200 alkalmazást céloz meg, beleértve a banki és kriptotárca-alkalmazásokat is. Konkrét országokat céloz meg, köztük Ausztráliát, Brazíliát, Kínát, Indiát, a Fülöp-szigeteket, az Egyesült Királyságot, Oroszországot, Spanyolországot és Olaszországot.
Hogyan oszlik meg S.O.V.A. banking trojan ?
Úgy tűnik, hogy S.O.V.A. banking trojan elsősorban smishing (vagy SMS-en keresztüli adathalászat) támadásokon keresztül terjesztik. A felhasználóknak olyan hivatkozásokat kapnak, amelyeken olyan üzenetek szerepelnek, amelyek azt állítják, hogy le kell tölteniük egy alkalmazást vagy egy frissítést. Az SMS-t álcázhatják, hogy úgy nézzen ki, mintha egy bank, kormányzati szerv stb. Küldte volna. Nem nehéz meghamisítani a telefonszámokat, hogy azok meglehetősen legitimnek tűnjenek. Maguk az üzenetek azonban általában tele vannak nyelvtani/helyesírási hibákkal, ami azonnal megadja őket.
Amikor a felhasználók rákattintanak az ezekben az üzenetekben található linkekre, olyan webhelyekre kerülnek, amelyek arra kérik őket, hogy töltsenek le egy alkalmazást. Érdemes megemlíteni, hogy a bankoktól vagy bármely más törvényes vállalattól/ügynökségtől származó legitim SMS-ek soha nem tartalmaznak linkeket. Ha a felhasználók üzenetet kapnak állítólag a bankjuktól, és arra kéri a felhasználókat, hogy kattintsanak a linkre a bankszámlájuk zárolásának feloldásához, az rosszindulatú üzenet. A felhasználók soha ne kattintsanak ismeretlen linkekre, különösen SMS-üzenetekben.
Olyan hamis alkalmazásokban is elrejtőzik, amelyek úgy jelennek meg, mint a legitimek (pl. Google Chrome ). Ez egy általános terjesztési módszer, mert sok felhasználó nem óvatos, amikor alkalmazásokat tölt le okostelefonjára. A felhasználók találkozhatnak ezekkel a hamis alkalmazásokkal, amelyeket megkérdőjelezhető, harmadik féltől származó alkalmazásboltokban vagy fórumokon népszerűsítenek. Általában nem ajánlott alkalmazásokat letölteni nem hivatalos forrásokból, mert ez rosszindulatú programhoz vezethet. Ezeket a webhelyeket gyakran rosszul kezelik, és nem megfelelő biztonsági intézkedésekkel rendelkeznek. A gyenge moderálás miatt a rosszindulatú szereplők könnyen feltölthetnek megtévesztő alkalmazásokat rosszindulatú programokkal.
A rosszindulatú letöltések az egyik oka annak, hogy a felhasználóknak ragaszkodniuk kell a hivatalos alkalmazásboltokhoz, például a Google Play Áruházhoz. A Google sok pénzt fektet abba, hogy alkalmazásboltját biztonságossá tegye, így a rosszindulatú alkalmazások letöltésének esélye sokkal kisebb a Play Áruház használatakor. Azonban még a hivatalos üzletek használata esetén is, a felhasználóknak óvatosnak kell lenniük. Még akkor is, ha a Play Áruház lényegesen biztonságosabb, mint bármely harmadik féltől származó alkalmazásbolt, még mindig nem tökéletes. A rosszindulatú szereplők különféle módszereket használnak a Google biztonsági intézkedéseinek megkerülésére, és néha sikeresek. A felhasználóknak mindig el kell olvasniuk a véleményeket, ellenőrizniük kell az engedélyeket, kutatniuk kell a fejlesztőket stb. Különösen az engedélyeket kell a felhasználóknak gondosan ellenőrizniük. A felhasználóknak meg kell fontolniuk, hogy az alkalmazások miért kérik az általuk nyújtott engedélyeket, és hogy valóban szükségük van-e rájuk. Ha például egy mobilalkalmazás engedélyt kér a mikrofon/kamera eléréséhez, annak fel kell vetnie néhány kérdést. Ha egy alkalmazás bármilyen módon gyanúsnak tűnik, a felhasználóknak kerülniük kell a letöltést, még akkor is, ha egy olyan legitim üzletben található, mint a Google Play.
S.O.V.A. banking trojan eltávolítás
Ez S.O.V.A. banking trojan egy nagyon kifinomult fertőzés, és eltávolítása nagyon trükkös lehet. Az Android víruskereső alkalmazások észlelik a trójai programot, ezért ajánlott kipróbálni ezt azoknak a felhasználóknak, akiknek az eszközei fertőzöttek. Ha azonban a trójai tartósan megpróbálja megakadályozni az eltávolítását, akkor az eltávolításhoz S.O.V.A. banking trojan szükség lehet egy teljes gyári visszaállításra . Ez törölné az eszköz összes adatát, beleértve a trójai programot is.
Azoknak a felhasználóknak, akiknek az eszközein megerősítették, S.O.V.A. banking trojan erősen ajánlott az összes jelszót rosszindulatú program nélküli eszközzel megváltoztatni. Továbbá, ha bármilyen banki információ veszélybe került, a felhasználóknak fel kell venniük a kapcsolatot bankjukkal, hogy biztosítsák számláik biztonságát.
