O SOVA, um dos malwares mais versáteis para o sistema operacional Android, quer trazer de volta uma velha tática dos primórdios dos sequestros digitais. Em uma nova atualização, o time de criminosos por trás do vírus não apenas adicionou capacidades mais furtivas a ele, como também a possibilidade de agir como ransomware, travando arquivos e solicitando resgate de usuários comuns.
A praga segue em franca atualização, com nada menos do que três novas versões lançadas apenas neste ano. Hoje, o SOVA é capaz de atingir clientes de mais de 200 bancos em todo o mundo, incluindo alguns do Brasil, bem como outros aplicativos financeiros, câmbios e carteiras de criptomoedas. Em sua quinta versão, analisada pelos especialistas em segurança da Cleafy, surge o módulo de ransomware, ainda em desenvolvimento pelos criminosos.
Na amostra analisada, a praga é capaz de codificar os arquivos do aparelho em um formato .ENC, enquanto exibe, na tela, uma nota de resgate e as informações para realização de pagamento. Segundo os pesquisadores, a nova versão ainda está em seus estágios iniciais e não vem sendo disseminada em massa, mas já seria capaz de realizar ataques e travar dados caso receba esse tipo de comando de um servidor controlado pelos bandidos.
Essa, inclusive, continua como a peça central do SOVA, que ao contaminar um aparelho, envia à infraestrutura a lista de apps baixados no celular da vítima. Caso haja correspondência com um software bancário ou financeiro visado, o vírus recebe de volta as telas de sobreposição que devem ser utilizadas para induzir o usuário a entregar informações e credenciais, enquanto, por trás, ocorrem as transações fraudulentas que esvaziam contas, furtam informações de cartão de crédito ou realizam transferências de criptomoedas.
Via Canaltech
