Categorie
Sicurezza Informatica

Android Sova: come è fatto il malware pronto a oclpire 200 banche

Tempo di lettura: 2 minuti. Un nuovo ceppo di pericoloso ransomware si è evoluto per colpire i dispositivi Android, avvertono i ricercatori.

Malware Android
Tempo di lettura: 2 minuti.

Gli esperti di Cleafy hanno analizzato la quinta e ultima versione del popolare trojan bancario Android SOVA e hanno scoperto diverse nuove funzionalità, tra cui la capacità di crittografare i file memorizzati localmente.

Secondo i ricercatori, il malware (si apre in una nuova scheda) utilizza la crittografia AES per aggiungere l’estensione .enc a tutti i file e impedire all’utente di accedervi.

“La funzione ransomware è piuttosto interessante perché non è ancora comune nel panorama dei trojan bancari Android. Sfrutta fortemente l’opportunità che si è presentata negli ultimi anni, quando i dispositivi mobili sono diventati per la maggior parte delle persone la memoria centrale per i dati personali e aziendali”, afferma Cleafy.

La quinta versione del trojan non è stata completamente sviluppata, hanno aggiunto i ricercatori, ma hanno avvertito che è comunque pronta per una distribuzione di massa.

I proprietari di SOVA hanno sviluppato in modo aggressivo il loro prodotto negli ultimi due mesi. Finora, quest’anno, sono stati introdotti numerosi nuovi strumenti, tra cui l’intercettazione dell’autenticazione a due fattori e nuove iniezioni per diverse banche globali. Sono state inoltre introdotte funzionalità di virtual network computing (VNC) per le frodi sui dispositivi. Questa funzione, tuttavia, sembra essere ancora in fase di costruzione.

SOVA è attualmente in grado di colpire più di 200 banche in tutto il mondo, oltre a numerose borse di criptovalute e portafogli digitali. È in grado di scattare screenshot, eseguire tap e swipe, rubare file da endpoint compromessi e aggiungere schermate in sovraimpressione per varie app. Può anche rubare i cookie da Gmail, Gpay e Google Password Manager.

Finora il ransomware (si apre in una nuova scheda) era riservato solo ai dispositivi desktop e ai server, poiché i suoi operatori erano interessati soprattutto a colpire aziende e società. Sembra che gli attori delle minacce stiano cercando di diversificarsi, dal momento che le aziende sono in grado di proteggere meglio i propri locali e di mantenere backup via etere.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version