S.O.V.A. banking trojan Android cihazları hedef alan son derece karmaşık bir kötü amaçlı yazılım enfeksiyonudur. Kimlik bilgilerini ve bankacılık bilgilerini çalmak ve kullanıcıların bunları kaldırmasını önlemek de dahil olmak üzere çok çeşitli yetenekleri nedeniyle çok tehlikeli bir enfeksiyon olarak kabul edilir. Bankacılık uygulamaları ve kripto cüzdanları da dahil olmak üzere 200’den fazla mobil uygulamayı hedefliyor.
SOVA bankacılık truva atı, kullanıcıları yüklemeleri için kandırmak amacıyla genellikle meşru uygulamalar olarak gizlenir. Kullanıcılar, smishing kampanyaları aracılığıyla bu sahte/kötü amaçlı uygulamalara yönlendirilebilir. Kullanıcılar sahte Android uygulamasını indirip yüklediğinde, kötü niyetli aktörler tarafından işletilen komuta ve kontrol sunucusuna (C2) yüklü tüm uygulamaların bir listesini gönderir. Tehdit aktörü hedeflenen uygulamaların listesini aldığında, hedeflenen her uygulama için adres listesi C2 aracılığıyla truva atına geri gönderilir. Bu bilgiler bir XML dosyasında depolanır.
Kullanıcılar kötü amaçlı uygulamayı indirdiğinde, uygulamanın Erişilebilirlik iznine izin vermelerini isteyen bir pencere gösterilir. Bu iznin verilmesi, kötü amaçlı yazılımın kötü amaçlı etkinliklerini başlatmasına olanak tanır. S.O.V.A. banking trojan tuş vuruşlarını günlüğe kaydetmek, çerezleri çalmak, çok faktörlü kimlik doğrulama çerezlerini ele geçirmek, ekran görüntüleri almak ve video kaydetmek, belirli eylemleri gerçekleştirmek (ekran tıklamaları, kaydırmalar vb.), Uygulamalara sahte kaplamalar eklemek ve bankacılık/ödeme uygulamalarını taklit etmek gibi çeşitli kötü amaçlı eylemler gerçekleştirebilir.
Giriş kimlik bilgilerini ve ödeme kartı bilgilerini çalmak için, truva atı sahte sayfalar gösterecektir. Örneğin, kullanıcılar bir uygulama aracılığıyla banka hesaplarında oturum açmaya çalıştıklarında, meşru pencereyle aynı görünen bir yer paylaşımı penceresi gösterilebilir. Kullanıcılar bilgilerini yazarsa, truva atını çalıştıran kötü niyetli aktörlere gönderilir. Çalınan bu kimlik bilgileri genellikle diğer siber suçlular için çeşitli bilgisayar korsanı forumlarında satılır veya kötü amaçlı yazılım operatörlerinin kendileri tarafından kullanıcıların fonlarını çalmak için kullanılabilir.
Ayrıca, truva atının güncellenmiş bir sürümünün bir Android cihazdaki tüm verileri şifreleyeceğine ve esasen rehin alacağına inanılmaktadır. Android cihazları hedefleyen fidye yazılımı çok yaygın değildir, bu yüzden oldukça sıradışı bir özelliktir.
S.O.V.A. banking trojan kendisini kaldırmaya çalışan kullanıcılardan da koruyabilir. Kullanıcılar uygulamayı kaldırmaya çalıştığında, truva atı bu eylemi durdurur ve kullanıcıları “Uygulama güvenlidir” diyen bir mesaj görüntüleyen ana ekrana yönlendirir. Bu, kaldırmayı oldukça zor hale getirebilir S.O.V.A. banking trojan . Ayrıca, normal kullanıcıların truva atını fark etmesi bile zor olabilir, çünkü mevcut olduğuna dair belirgin bir işaret göstermeyebilir. Gizli davranış, truva atının çok daha uzun süre yüklü kalmasına izin verebilir.
Truva atı, bankacılık ve kripto cüzdan uygulamaları da dahil olmak üzere 200’den fazla uygulamayı hedefler. Avustralya, Brezilya, Çin, Hindistan, Filipinler, İngiltere, Rusya, İspanya ve İtalya dahil olmak üzere belirli ülkeleri hedeflemektedir.
S.O.V.A. banking trojan Nasıl dağıtılır?
Esas olarak smishing (veya SMS yoluyla kimlik avı) saldırıları yoluyla dağıtıldığı görülmektedir S.O.V.A. banking trojan . Kullanıcılara, bir uygulamayı veya güncellemeyi indirmeleri gerektiğini iddia eden mesajlar içeren bağlantılar gönderilir. SMS, bir banka, devlet kurumu vb. tarafından gönderilmiş gibi görünecek şekilde gizlenmiş olabilir. Telefon numaralarını taklit etmek zor değildir, böylece oldukça meşru görünebilirler. Bununla birlikte, mesajların kendileri genellikle dilbilgisi / yazım hatalarıyla doludur ve bu da onları hemen verir.
Kullanıcılar bu mesajlardaki bağlantılara tıkladıklarında, bir uygulama indirmelerini isteyen sitelere yönlendirilirler. Bankalardan veya başka bir meşru şirketten / ajanstan gelen meşru SMS’lerin asla bağlantı içermeyeceğini belirtmekte fayda var. Kullanıcılar bankalarından sözde bir mesaj alırsa ve kullanıcılardan banka hesaplarının engelini kaldırmak için bağlantıyı tıklamalarını isterse, bu kötü amaçlı bir mesajdır. Kullanıcılar, özellikle SMS mesajlarında bilinmeyen bağlantılara asla tıklamamalıdır.
Ayrıca, meşru uygulamalar gibi görünmesi için yapılmış sahte uygulamalarda da gizlenir (ör. Google Chrome ). Bu yaygın bir dağıtım yöntemidir, çünkü birçok kullanıcı akıllı telefonlarına uygulama indirirken dikkatli değildir. Kullanıcılar, şüpheli üçüncü taraf uygulama mağazalarında veya forumlarda tanıtılan bu sahte uygulamalarla karşılaşabilirler. Kötü amaçlı yazılım bulaşmasına yol açabileceğinden, resmi olmayan kaynaklardan uygulama indirmeniz genellikle önerilmez. Bu siteler genellikle kötü yönetilir ve yetersiz güvenlik önlemlerine sahiptir. Bu zayıf ılımlılık nedeniyle, kötü niyetli aktörler içinde kötü amaçlı yazılım bulunan aldatıcı uygulamaları kolayca yükleyebilir.
Kötü amaçlı indirmeler, kullanıcıların Google Play Store gibi resmi uygulama mağazalarına bağlı kalmalarının nedenlerinden biridir. Google, uygulama mağazasını güvenli hale getirmek için çok para harcıyor, bu nedenle Play Store’u kullanırken kötü amaçlı bir uygulama indirme şansı çok daha zayıf. Ancak, resmi mağazaları kullanırken bile, kullanıcıların dikkatli olması gerekir. Play Store, herhangi bir üçüncü taraf uygulama mağazasından önemli ölçüde daha güvenli olsa bile, yine de mükemmel değildir. Kötü niyetli aktörler, Google’ın güvenlik önlemlerini atlamak için çeşitli yöntemler kullanır ve bazen başarılı olurlar. Kullanıcılar her zaman yorumları okumalı, izinleri kontrol etmeli, geliştiricileri araştırmalı vb. Özellikle izinler, kullanıcıların dikkatlice kontrol etmesi gereken bir şeydir. Kullanıcılar, uygulamaların neden yaptıkları izinleri istediklerini ve bunlara gerçekten ihtiyaç duyup duymadıklarını düşünmelidir. Örneğin, bir mobil oyun uygulaması mikrofona/kameraya erişmek için izin istiyorsa, bu birkaç soruyu gündeme getirmelidir. Bir uygulama herhangi bir şekilde şüpheli görünüyorsa, Google Play gibi meşru bir mağazada olsa bile kullanıcılar uygulamayı indirmekten kaçınmalıdır.
S.O.V.A. banking trojan Kaldırma
Çok S.O.V.A. banking trojan sofistike bir enfeksiyondur ve çıkarılması çok zor olabilir. Android antivirüs uygulamaları truva atını algılar, bu nedenle cihazlarına virüs bulaşmış kullanıcılar için bunu denemeniz önerilir. Ancak, truva atı kalıcı olarak kaldırılmasını engellemeye çalışırsa, kaldırmak S.O.V.A. banking trojan için tam fabrika ayarlarına sıfırlama gerekebilir. Bu, truva atı da dahil olmak üzere cihazdaki tüm verileri siler.
Cihazlarında S.O.V.A. banking trojan onaylanan kullanıcılar için, kötü amaçlı yazılım içermeyen bir cihaz kullanarak tüm şifreleri değiştirmeleri önemle tavsiye edilir. Ayrıca, herhangi bir bankacılık bilgisi ele geçirilirse, kullanıcıların hesaplarını güvence altına almak için bankalarıyla iletişime geçmeleri gerekir.
