SOVA habe sich früher auf Länder wie die USA, Russland und Spanien konzentriert, im Juli 2022 aber mehrere andere Länder, darunter Indien, zu seiner Zielliste hinzugefügt.
Die neueste Version dieser Malware versteckt sich laut Empfehlung in gefälschten Android-Anwendungen, die mit dem Logo einiger berühmter legitimer Apps wie z Chrom, Amazonas, NFT (non-fungible token linked to crypto currency)-Plattform, um Benutzer dazu zu verleiten, sie zu installieren. „Diese Malware erfasst die Zugangsdaten, wenn sich Benutzer bei ihren Net-Banking-Apps anmelden und auf Bankkonten zugreifen. Die neue Version von SOVA scheint auf mehr als 200 mobile Anwendungen abzuzielen, darunter Banking-Apps und Krypto-Börsen/Wallets“, heißt es in der Empfehlung. Das Indisches Computer-Notfallteam oder CERT-In ist der Technologiearm des Bundes zur Bekämpfung von Cyberangriffen und schützt den Internetraum vor Phishing- und Hacking-Angriffen und ähnlichen Online-Angriffen. Die Malware werde wie die meisten Android-Banking-Trojaner über Smishing-Angriffe (Phishing per SMS) verbreitet, teilte die Agentur mit. „Sobald die gefälschte Android-Anwendung auf dem Telefon installiert ist, sendet sie die Liste aller auf dem Gerät installierten Anwendungen an den C2 (Befehls- und Kontrollserver), der vom Angreifer kontrolliert wird, um die Liste der Zielanwendungen zu erhalten.“ „An diesem Punkt sendet der C2 die Liste der Adressen für jede Zielanwendung an die Malware zurück und speichert diese Informationen in einer XML-Datei. Diese Zielanwendungen werden dann durch die Kommunikation zwischen der Malware und dem C2 verwaltet“, heißt es. Die Tödlichkeit des Virus lässt sich daran ablesen, dass er Tastenanschläge sammeln, Cookies stehlen, Multi-Faktor-Authentifizierung abfangen kann (MFA)-Token, machen Sie Screenshots und Videos von einer Webcam und können Sie Gesten wie Klicken auf den Bildschirm, Wischen usw. mithilfe des Android-Zugänglichkeitsdienstes ausführen. Es kann auch falsche Overlays zu einer Reihe von Apps hinzufügen und über 200 Bank- und Zahlungsanwendungen „nachahmen“, um den Android-Benutzer zu betrügen. „Es wurde entdeckt, dass die Macher von SOVA es kürzlich auf seine fünfte Version seit seiner Einführung aktualisiert haben, und diese Version hat die Fähigkeit, alle Daten auf einem Android-Telefon zu verschlüsseln und sie als Lösegeld zu halten“, hieß es. Ein weiteres Schlüsselmerkmal des Virus ist laut Advisory die Umgestaltung seines „Schutz“-Moduls, das darauf abzielt, sich vor verschiedenen Opferaktionen zu schützen. Wenn der Benutzer beispielsweise versucht, die Malware aus den Einstellungen zu deinstallieren oder auf das Symbol zu drücken, kann SOVA diese Aktionen abfangen und verhindern, indem es zum Startbildschirm zurückkehrt und einen Toast (kleines Popup) mit der Anzeige „Diese App ist gesichert“. Diese Angriffskampagnen können die Privatsphäre und Sicherheit sensibler Kundendaten effektiv gefährden und zu „groß angelegten“ Angriffen und Finanzbetrug führen, hieß es. Die Agentur schlug auch einige Gegenmaßnahmen und Best Practices vor, die von den Benutzern umgesetzt werden können, um sich vor dem Virus zu schützen. Benutzer sollten das Risiko des Herunterladens potenziell schädlicher Apps verringern, indem sie ihre Downloadquellen auf offizielle App-Stores beschränken, wie z INFORMATIONEN“, hieß es. Man sollte auch App-Berechtigungen überprüfen und nur diejenigen erteilen, die einen relevanten Kontext für den Zweck der App haben. Sie sollten regelmäßige Android-Updates und -Patches installieren und nicht auf nicht vertrauenswürdigen Websites surfen oder nicht vertrauenswürdigen Links folgen und Vorsicht walten lassen, wenn sie auf den Link klicken, der in unerwünschten E-Mails und SMS enthalten ist.