SOVA es un malware o troyano bancario para Android del que se tiene constancia desde el año pasado y que ha ido dotándose de nuevos 'superpoderes' rápidamente.
Según informan los investigadores de seguridad de Cleafy, una de las últimas mejoras de esta amenaza es una función de ransomware capaz de encriptar archivos. Además, también habría incorporado nuevas capacidades de evasión.
En marzo de 2022 los creadores de SOVA lanzaron la versión 3.0, siendo esta capaz de capturar códigos de autenticación multifactor y cookies. Entonces también implementó nuevas inyecciones para apuntar a aplicaciones de múltiples bancos.
Con la versión 4, que llegó en julio, se le añadieron varias mejoras. “A partir de SOVA v4, los actores de amenazas pueden obtener capturas de pantalla de los dispositivos infectados para recuperar más información de las víctimas. Además, el malware también es capaz de registrar y obtener cualquier información sensible", explican los investigadores.
"Estas características, combinadas con los servicios de Accesibilidad, permiten a los ciberdelincuentes realizar gestos y, en consecuencia, actividades fraudulentas desde el dispositivo infectado, como ya hemos visto en otros troyanos bancarios para Android (por ejemplo, Oscorp o BRATA )", añade Cleafy.
“Con SOVA v4, los TA pueden administrar múltiples comandos, como hacer clic en la pantalla, deslizar, copiar/pegar y la capacidad de mostrar una pantalla superpuesta para ocultar la pantalla a la víctima”, especifican.
La version 4.0 de SOVA también dispone de un mecanismo de robo de cookies más avanzado y un módulo de protección diseñado para protegerlo de las acciones de la víctima.
Si el usuario trata de desinstalar el malware de la configuración SOVA ahora tiene la capacidad de interceptar estas acciones y regresar a la pantalla de inicio, mostrando una ventana emergente que reza 'Esta aplicación está protegida'.
SOVA 5.0, de malware a ransomware
Con la llegada de la versión 5 SOVA se ha convertido en una amenaza bastante más peligrosa. Y es que se ha dotado de un módulo de ransomware que encripta los archivos dentro de los dispositivos infectados usando un algoritmo AES y renombrándolos con la extensión .enc.
“La función de ransomware es bastante interesante, ya que todavía no es común en el panorama de los troyanos bancarios de Android. Aprovecha fuertemente la oportunidad que surge en los últimos años, puesto que los dispositivos móviles se han convertido para la mayoría de las personas en el almacenamiento central de datos personales y comerciales”. concluye el informe.