Trojan perbankan Android SOVA terus berkembang dengan fitur baru, peningkatan kode, dan penambahan fitur ransomware yang mengenkripsi file di perangkat seluler.
Rilis terbarunya, malware SOVA sekarang menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency dan dompet digital untuk mencoba mencuri data pengguna, serta cookie sensitif dari mereka.
Selain itu, fitur refactored dan kode yang ditingkatkan akan membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbaru 5.0, menambahkan modul ransomware.
Evolusi yang Cepat
Analis ancaman di perusahaan keamanan seluler Cleafy telah mengikuti evolusi SOVA sejak September 2021 dan melaporkan bahwa perkembangannya meningkat pesat pada 2022.
Pada Maret 2022, SOVA merilis versi 3 dengan menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk beberapa bank di seluruh dunia.
Suntikan ini berupa overlay yang ditampilkan di atas permintaan masuk yang sah dan digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.
Pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil aplikasi yang ditargetkan hingga 200, dan menambahkan kemampuan VNC (virtual network computing) untuk aksi penipuan di perangkat.
Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML berisi daftar alamat dan mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.
Versi utama keempat juga menambahkan support untuk perintah seperti mengambil tangkapan layar, melakukan klik dan menjalankan cursor, copy dan paste file, serta menyajikan layar overlay sesuka hati.
Rilis ini juga bisa melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencurian cookie, sekarang menargetkan Gmail, GPay dan Google Password Manager.
SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin aksesibilitas untuk mendorong pengguna kembali ke layar beranda, jika mereka mencoba melakukan uninstall aplikasi secara manual.
Terakhir, versi keempat berfokus pada Binance dan aplikasi ‘Trust Wallet’ platform, menggunakan modul khusus yang dibuat untuk mencuri frase rahasia pengguna.
Modul Ransomware Baru
Baru-baru ini, Cleafy mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak peningkatan kode dan penambahan fitur baru seperti modul ransomware.
Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi “.enc” pada file yang telah diubah namanya dan dienkripsi.
Versi ke-5 belum diedarkan secara luas dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan.
Bahkan dalam bentuknya yang belum selesai saat ini, ransomware SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi bagi semua pengguna Android harus waspada.
Akhirnya, pembuat malware tampak bertekad dan mampu memenuhi janji September 2021 mereka, tetap berpegang pada garis waktu pengembangan dan menambahkan fitur-fitur canggih setiap beberapa bulan.
Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat karena trojan perbankan ini sekarang menetapkan dirinya sebagai salah satu pelopor ransomware seluler yang masih belum dijelajahi.
Pengguna Android disarankan untuk memasang software antivirus, seperti Bitdefender Mobile Security demi melindungi smartphone dari ancaman seperti ini.
Usahakan men-download/meng-install software antivirus di tempat yang aman atau resmi, seperti di Google Playstore.
Bitdefender telah memenangkan penghargaan, serta memastikan keamanan 500 juta pengguna di seluruh dunia, dan memperluas jaring pengaman ini ke smartphone kita dengan teknologi berbasis cloud yang diperbarui 24 jam/hari.
Bitdefender Mobile Security juga mampu memblokir malware, spyware, trojan dan ancaman cyber terbaru lainnya.
Recent Comments