Die früheste Version der Malware war in der Lage, Benutzernamen und Passwörter (über Keylogging) zu speichern, Cookies zu stehlen sowie verschiedenen Apps falsche Overlays hinzuzufügen. Aber jetzt wurde die Malware auf ihre fünfte Version aktualisiert und kann mehr als die oben genannten Dinge tun. Anfangs konzentrierte sich SOVA auf Benutzer aus Ländern wie den USA, Russland und Spanien. Im Juli 2022 fügte das Virus seiner Liste der Ziele viele weitere Nationen (einschließlich Indien) hinzu.
Android-Trojaner SOVA: Wie funktioniert es?
Die neueste Version der Malware kann sich in einer Fälschung verstecken Android Apps die das Logo einiger authentischer Apps tragen, wie — Google Chrome, Amazonas, NFT Plattformen und andere, um Benutzer dazu zu bringen, sie zu installieren. Immer wenn sich die Opfer bei ihren Net-Banking-Apps anmelden oder mit kompromittierten Geräten auf ihre Bankkonten zugreifen, kann diese Malware die Anmeldeinformationen des Benutzers stehlen, ohne ihn zu benachrichtigen. Die neueste Version von SOVA zielt Berichten zufolge auf über 200 mobile Apps ab, darunter Banking-Apps und Krypto-Börsen/Wallets.
Wie die meisten Android-Banking-Trojaner wird diese Malware hauptsächlich durch Phishing über SMS-Kampagnen (auch bekannt als Smishing-Angriffe) verbreitet. Immer wenn ein Benutzer eine dieser gefälschten Android-Apps installiert, sendet die Malware eine Liste der Apps, die bereits auf dem Gerät vorhanden sind, an ihren Command-and-Control-Server (C2), der von Cyberkriminellen verwaltet wird. Diese von der Malware gesendete Liste hilft dem Angreifer, die Apps zu bestimmen, auf die er abzielen kann.
Dann sendet der C2-Server die Adressliste jeder Ziel-App zurück an die Malware und speichert die Informationen in einer XML Datei. Diese zielgerichteten Apps verhalten sich dann gemäß den Befehlen, die zwischen der Malware und dem C2-Server festgelegt wurden. Die Liste der Fähigkeiten der Malware umfasst das Sammeln von Tastenanschlägen, das Stehlen von Cookies und das Abfangen MFA Token, Erstellen von Screenshots, Aufnehmen von Videos und Nachahmen von unter anderem mehr als 200 Banking-/Zahlungs-Apps.
Wie sich die Malware im Laufe der Zeit entwickelt hat
Wie oben erwähnt, haben die Hersteller des Android-Trojaners SOVA die Malware bereits auf die fünfte Version aktualisiert, die in der Lage ist, alle Daten auf einem Android-Gerät zu verschlüsseln und als Lösegeld zu halten.
Die neueste Version von SOVA kann sich auch selbst vor verschiedenen Aktionen des Benutzers schützen. Wenn ein Opfer beispielsweise versucht, die Malware entweder über die Einstellungen oder durch langes Drücken des Symbols zu deinstallieren, fängt die Malware diese Aktionen ab und schickt den Benutzer zurück zum Startbildschirm, um zu verhindern, dass er sie löscht. Beim Deinstallationsversuch zeigt die Malware auch eine Popup-Meldung mit der Aufschrift „Diese App ist gesichert“ an.