Жертвами нового «банкера» станут банковские и магазинные приложения, а также криптокошельки. Этот троян позволяет операторам перехватывать на зараженных устройствах идентификационные данные пользователей, включая их банковские реквизиты, а также совершать на этих устройствах мошеннические действия.
Вредонос, названный S.O.V.A., имеет богатый арсенал, с помощью которого злоумышленники могут красть учетные данные и файлы куки через оверлей-атаки, логировать нажатия клавиш, перехватывать и скрывать уведомления от пользователей, а также управлять буфером обмена, подставляя туда свои адреса криптокошельков.
Кроме того, в ближайшем будущем планируется внедрение возможности выполнять мошеннические операции на зараженном устройстве посредством VNC (удаленное администрирование), реализовывать DDoS-атаки, развертывать вымогательское ПО и даже перехватывать коды двухфакторной аутентификации.
Этот троян был обнаружен в начале августа 2021 года исследователями из амстердамской компании по кибербезопасности ThreatFabric.
Оверлей-атаки обычно подразумевают кражу конфиденциальной информации пользователя при помощи вредоноса, который накладывает собственные окна поверх другой программы. Но все же наиболее опасной угрозой является кража действительных куки, так как этот прием позволяет преступникам авторизовываться и перехватывать у пользователей их аккаунты, не требуя знания банковских реквизитов.
«Второй набор возможностей, которые появятся в будущих релизах, окажется еще более продвинутым и перенесет S.O.V.A. уже в другую категорию вредоносных программ для Android, сделав ее потенциально одним из наиболее опасных ботов, совмещающем в себе взлом банковских реквизитов, автоматизацию и возможности ботнет», — сообщили представители ThreatFabric.
Несмотря на то, что этот троян еще находится на начальной стадии развития, его разработчики уже размещают рекламу на тематических форумах в поиске желающих протестировать вредонос и его ботнет-потенциал на огромном числе устройств.
«Это не переделка Cerberus/Anubis, а полностью оригинальная программа», — гласит пост на форуме.
«S.O.V.A. еще только начинает свой путь и на данный момент предоставляет те же базовые возможности, что и большинство вредоносных программ для взлома банковских аккаунтов на Android», — заявляют исследователи. – «Однако авторы определенно возлагают большие надежды на свое детище, что демонстрируется как их желанием привлечь к тестированию сторонних участников, так и прозрачностью планов дальнейшего развития».
