新的 SOVA Android 银行木马正在迅速增长

网络安全公司 ThreatFabric 的研究人员在 8 月初发现了一种名为 SOVA 的新型 Android 银行木马，该木马针对来自美国和西班牙的银行应用程序、加密货币钱包和购物应用程序。SOVA 这个名字来自俄语中猫头鹰的意思。

该恶意软件允许攻击者从受感染设备收集敏感数据，包括银行凭据和 PII。

银行木马实现了多种收集功能，恶意代码能够利用网络覆盖攻击、记录击键、隐藏通知和剪贴板劫持来窃取凭据和会话 cookie。

移动恶意软件目前处于开发和测试阶段，威胁行为者可能会在未来实施其他功能来进行 DDoS 和勒索软件攻击。

“与许多其他人一样，SOVA 也从传统的桌面恶意软件中汲取了灵感，证实了过去几年移动恶意软件中存在的趋势。将 DDoS、 中间人和 勒索软件纳入 其武器库可能意味着对最终用户造成难以置信的损害，此外还有覆盖和键盘记录攻击已经非常危险的威胁。” 阅读ThreatFabric 发布的分析。 “在开发方面，SOVA 还因在 Kotlin 中完全开发而脱颖而出，Kotlin 是 Android 支持的一种编码语言，被许多人认为是 Android 开发的未来。”

在发布报告时，ThreatFabric 研究人员确定了三个 SOVA 样本，其中两个与恶意软件的第一次迭代有关，最后一个是较新的版本。

SOVA 银行木马的作者一直在黑客论坛上宣传该产品，7 月份他们正在寻找恶意代码的测试人员。

目标的国家分布显示，大多数感染发生在美国、英国，出人意料地发生在俄罗斯。

“然而，这个机器人背后的作者显然对他的产品抱有很高的期望，作者致力于与第三方测试 SOVA，以及 SOVA 明确的功能路线图都证明了这一点。” 分析结束。“当前版本的 SOVA 能够通过覆盖攻击、键盘记录、隐藏通知和操纵剪贴板插入修改后的加密货币钱包地址来窃取凭据和会话 cookie。如果作者坚持路线图，它还将能够通过 VNC、DDoS 功能、勒索软件和高级覆盖攻击来实现设备上的欺诈。这些功能将使 SOVA 成为市场上功能最丰富的 Android 恶意软件，并可能成为针对金融机构的 Android 银行木马的‘新规范’。”