«Русский» троянец
Новый банковский троянец под Android начал атаковать банковские приложения, криптокошельки и приложения пользователей в России, США, Великобритании и др. Троянец носит характерное название SOVA (или S.O.V.A.).
Троянец способен красть персональные данные о пользователях зараженных устройств, в том числе банковские реквизиты (через файлы cookie). Основным инструментом кражи являются overlay-атаки, когда фальшивые окна полностью перекрывают интерфейс устройства. Троянец также способен перехватывать нажатия экранных клавиш, скрывать уведомления и модифицировать буфер обмена, чтобы подменять адреса криптокошельков.
Злоумышленники обещают в дальнейшем добавить мошеннические функции, использующие технологии удаленного управления экраном (VNC), возможности организовывать DDoS-атаки, загрузку шифровальщиков и перехват токенов двухфакторной авторизации.
«Русский» троянец начал атаковать жертв до выхода из тестовой стадии
Троянец также способен проверять, не запускают ли его в эмулированной среде — очевидно, с целью избежать анализа со стороны экспертов по безопасности.
Вредонос обнаружили в начале августа 2021 г. эксперты амстердамской компании ThreatFabric. Они указывают, что вектор развития вредоноса может сделать его одной из самых продвинутых и опасных киберугроз среди банковских троянцев в мире.
Активно рекламируется
Авторы троянца уже вовсю рекламируют его на русскоязычных хакерских форумах, подчеркивая, что программа написана с нуля, и что, помимо троянских функций, S.O.V.A. выполняет роль бота. «Это не переделка Cerberus/Anubis, бот написан с нуля», — говорится в объявлении на форуме. Там же перечисляются планы разработчика.
«S.O.V.A. — проект, который пока находится на ранних стадиях, но уже предлагает ту же функциональность, что и другие современные банковские троянцы под Android. При этом у автора этого бота явно очень высокие амбиции, о чем свидетельствует и желание тестировать S.O.V.A. на стороне и запланированная функциональность», — отмечается в публикации ThreatFabric.
Характерно, однако, что бота детектирует множество антивирусов. Как прокомментировали специалисты ThreatFabric в Twitter, программа «очень хорошо написана», однако в ней «отсутствуют некоторые очевидные методики упаковки (обфускации)», что, вероятно, будет исправлено в ближайшее время.
Хотя вредонос находится на тестовой стадии, уже наблюдается как минимум одна кампания против различных банков и криптокошельков.
«По всей вероятности, кто-то собирается сделать “швейцарский нож”, который позволит обчищать и криптокошельки, и банковские аккаунты, и устраивать любые другие атаки, в общем, пакостить всеми возможными способами, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Ошибкой злоумышленников стала слишком ранняя реклама этого вредоноса: застать пользователей и экспертов по информбезопасности врасплох теперь не получится. Добавление средств обфускации затруднит его обнаружение, но вряд ли в критичной степени».
