新的 SOVA Android 銀行木馬正在迅速增長

網絡安全公司 ThreatFabric 的研究人員在 8 月初發現了一種名為 SOVA 的新型 Android 銀行木馬，該木馬針對來自美國和西班牙的銀行應用程序、加密貨幣錢包和購物應用程序。SOVA 這個名字來自俄語中貓頭鷹的意思。

該惡意軟件允許攻擊者從受感染設備收集敏感數據，包括銀行憑據和 PII。

銀行木馬實現了多種收集功能，惡意代碼能夠利用網絡覆蓋攻擊、記錄擊鍵、隱藏通知和剪貼板劫持來竊取憑據和會話 cookie。

移動惡意軟件目前處于開發和測試階段，威脅行為者可能會在未來實施其他功能來進行 DDoS 和勒索軟件攻擊。

“與許多其他人一樣，SOVA 也從傳統的桌面惡意軟件中汲取了靈感，證實了過去幾年移動惡意軟件中存在的趨勢。將 DDoS、 中間人和 勒索軟件納入 其武器庫可能意味著對最終用戶造成難以置信的損害，此外還有覆蓋和鍵盤記錄攻擊已經非常危險的威脅。” 閱讀ThreatFabric 發布的分析。 “在開發方面，SOVA 還因在 Kotlin 中完全開發而脫穎而出，Kotlin 是 Android 支持的一種編碼語言，被許多人認為是 Android 開發的未來。”

在發布報告時，ThreatFabric 研究人員確定了三個 SOVA 樣本，其中兩個與惡意軟件的第一次迭代有關，最后一個是較新的版本。

SOVA 銀行木馬的作者一直在黑客論壇上宣傳該產品，7 月份他們正在尋找惡意代碼的測試人員。

目標的國家分布顯示，大多數感染發生在美國、英國，出人意料地發生在俄羅斯。

“然而，這個機器人背后的作者顯然對他的產品抱有很高的期望，作者致力于與第三方測試 SOVA，以及 SOVA 明確的功能路線圖都證明了這一點。” 分析結束。“當前版本的 SOVA 能夠通過覆蓋攻擊、鍵盤記錄、隱藏通知和操縱剪貼板插入修改后的加密貨幣錢包地址來竊取憑據和會話 cookie。如果作者堅持路線圖，它還將能夠通過 VNC、DDoS 功能、勒索軟件和高級覆蓋攻擊來實現設備上的欺詐。這些功能將使 SOVA 成為市場上功能最豐富的 Android 惡意軟件，并可能成為針對金融機構的 Android 銀行木馬的‘新規范’。”