S.O.V.A. – новый банковский Android-троян с функциями ботнета

Специалисты ИБ-компании ThreatFabric обнаружили новый банковский Android-троян, атакующий пользователей банковских приложений, криптовалютных кошельков и приложений интернет-магазинов в США и Испании.

Вредонос, получивший название S.O.V.A., снабжен множеством разнообразных функций, включая кражу учетных данных, сессионных cookie-файлов через оверлейные атаки, запись нажатий клавиш, сокрытие уведомлений, внедрение адресов в буфер обмена криптовалютных кошельков, осуществление DDoS-атак, развертывание вымогательского ПО и перехват кодов двухфакторной аутентификации.

Как и прочие Android-трояны подобного рода, S.O.V.A. задействует службу специальных возможностей (Accessibility Services) в Android.

Пока троян находится на стадии разработки и не весь его функционал доступен, но, учитывая амбициозные планы разработчиков, вредонос потенциально может стать серьезной угрозой для экосистемы Android.

Написанный на Kotlin, троян базируется на проекте с открытым исходным кодом RetroFit, который обеспечивает связь с управляющим сервером. RetroFit – это REST-клиент для Android, Java и Kotlin, упрощающий взаимодействие с REST API.

Авторы S.O.V.A. активно рекламируют вредонос на хакерских форумах и стараются привлечь «тестировщиков» для испытания его функций на большом количестве устройств. По словам исследователей, вредоносная программа проверяет местоположение и IP-адрес и не атакует устройства в странах СНГ, в частности, Армении, Азербайджане, Беларуси, Казахстане, Молдове, РФ, Киргизстане, Узбекистане и Таджикистане.