Il trojan bancario SOVA Android continua a essere sviluppato attivamente con funzionalità aggiornate per indirizzare non meno di 200 applicazioni mobili, comprese le bancarie, scambi di criptovalute e portafogli digitali, rispetto alle 90 applicazioni per le quali era inizialmente concepito.
Questo, secondo gli ultimi risultati della società italiana di sicurezza informatica Cleafy, che ha scoperto che le versioni più recenti della funzionalità del malware per intercettare codici di autenticazione a due fattori (2FA), rubare cookie ed espandersi verso Australia, Brasile, Cina, India, Filippine e Regno Unito.
Cos’è questo malware Android SOVA, da dov’è uscito e cosa combina
SOVA, che significa gufo in russo, è nato a settembre 2021 per colpire programmi finanziari e per le compere dagli Stati Uniti e dalla Spagna, per la raccolta di credenziali tramite attacchi overlay sfruttando i servizi di accessibilità di Android.
Il motivo per il quale è nato è abbastanza intuibile: in primo rubare prima di tutto dati personali (nulla di nuovo sotto il sole), in secondo per rubare soldi, dai conti bancari, sia reali che in criptovalute.
In meno di un anno, il trojan ha anche agito come base per un altro malware Android chiamato MaliBot, progettato per prendere di mira i clienti bancari online e portafogli di criptovalute (i cosiddetti Wallet) in Spagna e in Italia.
L’ultima variante di SOVA, soprannominata v4 da Cleafy, si nasconde all’interno di applicazioni false (tanto per cambiare) che presentano loghi di applicazioni legittime come Amazon e Google Chrome per indurre gli utenti a installarle. Altri miglioramenti degni di nota includono l’acquisizione di schermate e la registrazione degli schermi del dispositivo.
“Queste funzionalità, combinate con i servizi di Accessibilità, consentono [ai malintenzionati] di eseguire applicativi e, di conseguenza, attività fraudolente dal dispositivo infetto, come abbiamo già visto in altri Trojan Banking Android (es. Oscorp o BRATA)“, sostengono i ricercatori di Cleafy Francesco Iubatti e Federico Valentino.
SOVA v4 noto anche per la sua capacità nello strappare informazioni sensibili da Binance e Trust Wallet, come i saldi dei conti e le domande di sicurezza.
Inoltre, anche 13 applicazioni bancarie con sede in Russia e Ucraina che sono state prese di mira dal malware sono state da allora rimosse dall’ultima versione versione del malware per Android.
A peggiorare le cose, quest’aggiornamento del malware gli consente sfruttare le autorizzazioni ad ampio raggio per deviare i tentativi di disinstallarlo reindirizzando la vittima alla schermata iniziale e visualizzando il messaggio “Questa app è protetta” (“This app is secured”, in lingua inglese).
Il trojan bancario, in quanto già ricco di queste “funzionalità”, potrebbe in futuro incorporare anche una componente ransomware nella prossima versione, che è attualmente in fase di sviluppo e mira a crittografare tutti i file archiviati nel dispositivo infetto utilizzando AES e rinominarli con l’estensione “.ecc”.
È probabile che il miglioramento renda SOVA un malware formidabile nel panorama delle minacce Android.
“La funzione ransomware è piuttosto interessante in quanto non è ancora comune nel panorama dei trojan bancari su Android“, hanno affermato i ricercatori.
“Sfrutta fortemente la grande presenza [di dispositivi Android] emersa negli ultimi anni, poiché i dispositivi mobili sono utilizzati dalla maggior parte delle persone per l’archiviazione di dati [di terze parti, tipo PDF, file scaricati, etc], per i dati personali e aziendali“.
Se tu dovessi beccare il malware per Android SOVA, come devi comportarti?
Come scritto nel precedente paragrafo, il malware si insidia soprattutto sulle applicazioni fasulle: non le devi scaricare per alcuna ragione al mondo.
Attenzione quindi a siti che hanno grafiche ingannevoli.
Nel caso in cui SOVA, questo malware per Android, dovesse evolversi diventando anche ramsomware, si può sempre utilizzare Malwarebytes (o altri antimalware per Android: ce ne sono tanti).
Va però detta una cosa: una volta che il ransomware (che vuol dire “malware di riscatto”, per capirci) ha reso “incomprensibili” i file tramite crittazione, difficilmente si ritornerà indietro anche dopo la scansione completa e anche ammesso si paghi il riscatto.
È buona norma, quindi, fare regolarmente un backup dei propri dati, possibilmente su supporti esterni (scheda SD, Disco rigido esterno, chiavetta USB).
