Der SOVA-Android-Bankentrojaner wird weiterhin aktiv weiterentwickelt und hat jetzt nicht weniger als 200 mobile Anwendungen im Visier, darunter Banking-Apps sowie Kryptobörsen und -Wallets, statt wie zu Beginn 90 Apps.
Das geht aus den neuesten Erkenntnissen der italienischen Cybersecurity-Firma Cleafy hervor, die festgestellt hat, dass neuere Versionen des Schadprogramms über Funktionen zum Abfangen von Zwei-Faktor-Authentifizierungscodes (2FA) und zum Stehlen von Cookies verfügen und ihr Zielgebiet auf Australien, Brasilien, China, Indien, die Philippinen und Großbritannien ausweiten.
SOVA, was auf Russisch „Eule“ bedeutet, wurde im September 2021 entdeckt, als es Finanz- und Shopping-Apps aus den USA und Spanien angriff, um mit Hilfe von Overlay-Angriffen Anmeldedaten abzugreifen, indem es die Barrierefreiheitsdienste von Android ausnutzte.
In weniger als einem Jahr diente der Trojaner auch als Grundlage für eine andere Android-Malware namens MaliBot, die auf Online-Banking und Kryptowährungs-Wallet-Kunden in Spanien und Italien abzielt.
Die neueste Variante von SOVA, die von Cleafy als v4 bezeichnet wird, verbirgt sich in gefälschten Anwendungen, die mit Logos von legitimen Apps wie Amazon und Google Chrome versehen sind, um Nutzer/innen zur Installation zu verleiten. Zu den weiteren bemerkenswerten Verbesserungen gehören die Aufnahme von Screenshots und die Aufzeichnung der Gerätebildschirme.
„Diese Funktionen in Kombination mit den Zugänglichkeitsdiensten ermöglichen es [Bedrohungsakteuren], Gesten und damit betrügerische Aktivitäten vom infizierten Gerät aus durchzuführen, wie wir es bereits bei anderen Android-Bank-Trojanern (z. B. Oscorp oder BRATA) gesehen haben“, so die Cleafy-Forscher Francesco Iubatti und Federico Valentini.
SOVA v4 zeichnet sich auch dadurch aus, dass er versucht, sensible Informationen von Binance und Trust Wallet zu sammeln, z. B. Kontostände und Seed-Phrasen. Außerdem wurden alle 13 russischen und ukrainischen Banking-Apps, auf die es die Malware abgesehen hatte, inzwischen aus der Version entfernt.
Erschwerend kommt hinzu, dass die Malware mit dem Update ihre weitreichenden Berechtigungen nutzen kann, um Deinstallationsversuche abzuwehren, indem sie das Opfer auf den Startbildschirm umleitet und die Toast-Meldung „Diese App ist sicher“ anzeigt.
Es wird erwartet, dass der Banking-Trojaner, so funktionsreich er auch ist, in der nächsten Iteration eine Ransomware-Komponente enthält, die derzeit entwickelt wird und darauf abzielt, alle auf dem infizierten Gerät gespeicherten Dateien mit AES zu verschlüsseln und sie mit der Endung „.enc“ umzubenennen.
Diese Erweiterung wird SOVA wahrscheinlich zu einer ernstzunehmenden Bedrohung in der mobilen Bedrohungslandschaft machen.
„Die Ransomware-Funktion ist sehr interessant, da sie in der Landschaft der Android-Bankentrojaner noch nicht üblich ist“, so die Forscher. „Sie macht sich die Gelegenheit zunutze, die sich in den letzten Jahren ergeben hat, als mobile Geräte für die meisten Menschen zum zentralen Speicher für persönliche und geschäftliche Daten wurden.