Eksperci z Cleafy przeanalizowali piątą i najnowszą wersję popularnego trojana bankowego SOVA na Androida i odkryli wiele nowych funkcji, w tym zdolność do szyfrowania lokalnie przechowywanych plików.
Według badaczy, złośliwe oprogramowanie wykorzystuje szyfrowanie AES, aby dodać rozszerzenie .enc do wszystkich plików i uniemożliwić użytkownikowi dostęp do nich.
“Funkcja ransomware jest dość interesująca, ponieważ wciąż nie jest powszechna w środowisku trojanów bankowych na Androida. Mocno wykorzystuje okazję, jaka pojawiła się w ostatnich latach, ponieważ urządzenia mobilne stały się dla większości ludzi centralnym magazynem danych osobistych i biznesowych” – mówi Cleafy.
Twórcy SOVA od kilku miesięcy agresywnie rozwijają swój produkt. Jak dotąd w tym roku wprowadzono do niego wiele nowych narzędzi, w tym przechwytywanie dwuskładnikowego uwierzytelniania, a także nowe iniekcje dla wielu globalnych banków. Pojawiły się również możliwości wirtualnej sieci komputerowej (VNC) dla oszustw na urządzeniach. Ta funkcja wydaje się jednak nadal być w budowie.
SOVA jest obecnie w stanie obrać za cel ponad 200 banków na całym świecie, a także liczne giełdy kryptowalut i portfele cyfrowe. Jest w stanie robić zrzuty ekranu, wykonywać stuknięcia i przesunięcia palca po ekranie, kraść pliki z zagrożonych punktów końcowych i dodawać ekrany nakładek dla różnych aplikacji. Może również wykradać ciasteczka z Gmaila, Gpay, jak również Google Password Manager.
Do tej pory ransomware był zarezerwowany tylko dla urządzeń stacjonarnych i serwerów, ponieważ jego operatorzy byli głównie zainteresowani atakiem na firmy i korporacje. Wygląda na to, że użytkownicy smarfonów, stali się kolejną grupą narażoną na ataki.