S.O.V.A. Android-trojan

Een nieuwe bedreigende Android-trojan is opgedoken op ondergrondse hackerforums, waar de makers reclame maken voor de dreiging en op zoek zijn naar testers. Ondanks dat het nog in ontwikkeling is, beschikt de dreiging genaamd S.O.V.A. al over een breed scala aan bedreigende mogelijkheden die het kan uitvoeren op de geschonden apparaten. Als de functies die in toekomstige versies zullen worden opgenomen, live gaan, kan S.O.V.A. tot nu toe de meest geavanceerde en veelzijdige bedreiging van dit type worden, door automatisering, banking malware en botnet-mogelijkheden te combineren.

De huidige versie van de S.O.V.A. is ontworpen om zich te richten op meerdere populaire applicaties (bank- en winkelapplicaties, evenals crypto-wallet-programma's). De aanvallers kunnen dan beginnen met het verzamelen van persoonlijk identificeerbare informatie, evenals betalings- en bankgegevens. De dreiging kan toetsaanslagen registreren, inloggegevens en sessiecookies verzamelen via overlay-technieken, het klembord wijzigen door een specifiek crypto-wallet-adres te injecteren om geld om te leiden en systeemmeldingen te verbergen.

De tweede groep functies die op een later tijdstip zal worden toegevoegd, zal echter het potentieel van S.O.V.A. om schade aan te richten enorm vergroten. De makers zijn van plan een DDoS-functionaliteit, een ransomware-droppercode en een routine toe te voegen om 2FA-codes (tweefactorauthenticatie) te onderscheppen. Virtual Network Computing (VNC) kan ook worden misbruikt, waardoor de aanvallers fraudeactiviteiten op het apparaat kunnen uitvoeren.

Volgens gegevens die zijn vrijgegeven door ThreatFabric, het cyberbeveiligingsbedrijf dat de dreiging ontdekte, heeft S.O.V.A. zich gericht op gebruikers uit meerdere verschillende landen op verschillende continenten, waarbij de VS en het VK de meeste detecties hebben, gevolgd door Rusland, Duitsland en Turkije.