SOVA Android Banking trojan

В начале августа 2021 года в ходе ежедневного поиска угроз исследователи ThreatFabric, обнаружен новый троян для Android – SOVA, нацеленный на банковские приложения, криптокошельки и приложения для онлайн-покупок.

SOVA содержит функции, которые обычно доступны в текущих вредоносных программах для Android, в том числе:
Оверлейные атаки;
Кейлоггинг;
Манипуляции с уведомлениями.
Запись нажатых клавиш.
Наложение своих окон поверх настоящих программ.
Взаимодействие с буфером обмена.
Кража сессионных файлов cookie

Всё это позволяет вредоносу легко красть учётные данные и подменять адреса криптокошельков при копировании и вставке. Специалисты так-же считают, что S.O.V.A. может в скором времени стать одной из самых серьёзных киберугроз для Android. Кстати, Россия входит в тройку самых атакуемых «совой» стран.

adPlace

Функциональные возможности бота, заявленные его авторами, включают:

Украсть данные с устройства.
Отправить смс.
Оверлей и внедрение файлов cookie.
Оверлей и внедрение файлов cookie с помощью push-уведомлений.
Выполнение USSD.
Накладки на кредитную карту с проверкой действительности.
Скрытый перехват смс.
Скрытый перехват уведомлений.
Кейлоггер.
Удаление приложения.
Устойчивость к удалению от жертв.

Функции, которые предлагает SOVA, соответствуют стандарту для вредоносных программ Android, который мы привыкли видеть в 2021 году. Однако, как упоминалось ранее, преступники, стоящие за этим ботом, очень активны и также выпустили подробную дорожную карту функций, которые будут включены в будущих выпусках SOVA:

Автоматические трехступенчатые инъекции наложения.
Автоматические инъекции файлов cookie.
Манипуляции с буфером обмена.
DDoS
Улучшено состояние панели.
Программа-вымогатель (с накладкой на номер карты).
Человек посередине (MitM).
Обычные Push-уведомления.
Еще накладки.
VNC.
2FA перехват.

Подробности будут на английском языке по ссылке на источник, что же стоит выделить:
Проект создан носителем русского языка (это точно не разработка группы, поскольку на русскоязычных форумах вообще тишина)
Разработчик молод, поскольку в списке инжектов присутствуют банки РФ и не просто банки, а такие как ВТБ, по которому “старые хакеры” работать не станут ни при каких условиях, по всем известным в РФ причинам.
Разработчик аполитичен, скорее даже анархист, дерзок и интересен в плане сотрудничества.
В ближайшее время у нас будет этот бот, мы его обязательно достанем и безусловно это крайне полезный инструмент.

Пока в продаже нет, только тест лежит на xss стоит блок по работе на СНГ, что вообщем то и не удивительно. Странно что международные обзорщики этого не отметили, хотя возможно у них нет доступов к материалу.

ссылка на источник