S.O.V.A. banking trojan er en svært sofistikert malwareinfeksjon som er rettet mot Android-enheter. Det anses å være en veldig farlig infeksjon på grunn av det brede spekteret av muligheter, inkludert å stjele legitimasjon og bankinformasjon, samt hindre brukere i å fjerne den. Den retter seg mot mer enn 200 mobilapper, inkludert bankapper og kryptolommebøker.
SOVA-banktrojanen er vanligvis forkledd som legitime apper for å lure brukere til å installere den. Brukere kan bli dirigert til disse falske / ondsinnede appene via smishing-kampanjer. Når brukere laster ned og installerer den falske Android-appen, sender den en liste over alle installerte apper til kommandokontrollserveren (C2) som drives av ondsinnede aktører. Når trusselaktøren har fått listen over målrettede applikasjoner, sendes en liste over adresser for hver målrettede applikasjon tilbake til trojaneren via C2. Denne informasjonen lagres i en XML-fil.
Når brukere laster ned den skadelige appen, vises et vindu der de blir bedt om å tillate tilgjengelighetstillatelsen for appen. Ved å gi denne tillatelsen kan skadelig programvare starte sine ondsinnede aktiviteter. S.O.V.A. banking trojan kan utføre en rekke ondsinnede handlinger, inkludert logging av tastetrykk, stjele informasjonskapsler, fange opp informasjonskapsler med flere faktorer, ta skjermbilder og spille inn videoer, utføre visse handlinger (skjermklikk, sveip osv.), legge til falske overlegg i apper og etterligne bank-/betalingsapplikasjoner.
For å stjele påloggingsinformasjon og betalingskortinformasjon, trojaneren vil vise falske sider. Når brukere for eksempel prøver å logge på bankkontoen sin via en app, kan de bli vist et overleggsvindu som ser identisk ut med det legitime vinduet. Hvis brukere skriver inn informasjonen sin, vil den bli sendt til ondsinnede aktører som driver trojaneren. Disse stjålne legitimasjonene selges ofte enten på forskjellige hackerfora for andre nettkriminelle, eller de kan brukes av malware-operatørene selv for å stjele brukernes midler.
Det antas også at en oppdatert versjon av trojaneren også vil kryptere alle data på en Android-enhet, og i hovedsak ta den som gissel. Ransomware rettet mot Android-enheter er ikke veldig vanlig, så det er en ganske uvanlig funksjon.
S.O.V.A. banking trojan kan også beskytte seg mot brukere som prøver å fjerne den. Når brukere prøver å avinstallere appen, avskjærer trojaneren denne handlingen og omdirigerer brukere til startskjermen som viser en melding som sier «Appen er sikret». Dette kan gjøre S.O.V.A. banking trojan fjerning ganske vanskelig. Videre kan det være vanskelig for vanlige brukere å legge merke til trojaneren fordi den kanskje ikke viser noen åpenbare tegn på å være til stede. Stealthy oppførsel kan tillate trojaneren å forbli installert mye lenger.
Trojaneren retter seg mot over 200 apper, inkludert bank- og kryptolommebokapper. Den retter seg mot bestemte land, inkludert Australia, Brasil, Kina, India, Filippinene, Storbritannia, Russland, Spania og Italia.
S.O.V.A. banking trojan Hvordan distribueres?
Det ser ut til at distribueres S.O.V.A. banking trojan hovedsakelig via smishing (eller phishing via SMS) angrep. Brukere får tilsendt lenker med meldinger som hevder at de trenger å laste ned en app eller en oppdatering. SMS-en kan være forkledd for å se ut som den ble sendt av en bank, offentlig etat osv. Det er ikke vanskelig å forfalske telefonnumre, slik at de kan virke ganske legitime. Imidlertid er meldingene i seg selv vanligvis fulle av grammatikk / stavefeil, noe som gir dem bort umiddelbart.
Når brukere klikker på koblingene i disse meldingene, blir de ført til nettsteder som ber dem om å laste ned en app. Det er verdt å nevne at legitim SMS fra banker eller andre legitime selskaper / byråer aldri vil inneholde lenker. Hvis brukere mottar en melding angivelig fra banken sin, og den ber brukerne om å klikke på lenken for å oppheve blokkeringen av bankkontoen, er det en ondsinnet melding. Brukere bør aldri klikke på ukjente lenker, spesielt i SMS-meldinger.
Den gjemmer seg også i falske apper som er laget for å se ut som legitime (f.eks. Google Chrome Dette er en vanlig distribusjonsmetode fordi mange brukere ikke er forsiktige når de laster ned apper til smarttelefonene sine. Brukere kan komme over at disse falske appene markedsføres i tvilsomme tredjeparts appbutikker eller fora. Det anbefales vanligvis ikke å laste ned apper fra ikke-offisielle kilder fordi det kan føre til en infeksjon av skadelig programvare. Disse nettstedene er ofte dårlig administrert og har utilstrekkelige sikkerhetstiltak. På grunn av den dårlige modereringen kan ondsinnede aktører enkelt laste opp villedende apper med skadelig programvare i dem.
Ondsinnede nedlastinger er en av grunnene til at brukere bør holde seg til offisielle appbutikker som Google Play Store. Google investerer mye penger i å gjøre appbutikken sin sikker, så sjansene for å laste ned en ondsinnet app er mye slankere når du bruker Play Store. Men selv når du bruker offisielle butikker, må brukerne være forsiktige. Selv om Play Store er betydelig mer trygt enn noen tredjeparts appbutikk, er den fortsatt ikke perfekt. Ondsinnede aktører bruker forskjellige metoder for å omgå Googles sikkerhetstiltak, og de lykkes noen ganger. Brukere bør alltid lese anmeldelser, sjekke tillatelser, undersøke utviklerne osv. Spesielt tillatelser er noe brukerne bør sjekke nøye. Brukere bør vurdere hvorfor apper ber om tillatelsene de gjør, og om de faktisk trenger dem. Hvis for eksempel en mobilspillapp ber om tillatelse til å få tilgang til mikrofonen/kameraet, bør det reise noen spørsmål. Hvis en app ser mistenkelig ut på noen måte, bør brukerne unngå å laste den ned, selv om den er i en legitim butikk som Google Play.
S.O.V.A. banking trojan fjerning
Det S.O.V.A. banking trojan er en svært sofistikert infeksjon og fjerning kan være svært vanskelig. Android-antivirusapper oppdager trojaneren, så det anbefales å prøve det for brukere hvis enheter er infisert. Men hvis trojaneren vedvarende prøver å forhindre fjerning, kan det være nødvendig med en fullstendig tilbakestilling av fabrikken for å fjerne S.O.V.A. banking trojan . Det vil slette alle data på enheten, inkludert trojaneren.
For brukere på hvis enheter S.O.V.A. banking trojan er bekreftet, anbefales det sterkt å endre alle passord ved hjelp av en enhet uten skadelig programvare. Videre, hvis noen form for bankinformasjon har blitt kompromittert, må brukerne kontakte banken sin for å sikre kontoene sine.
