سوا ؛ ویروس جدید و قتلگاه برنامه های بانکداری

به گزارش کارگروه امنیت سایبربان؛ ویروس تروجان بانکداری تلفن همراه جدید سوا (SOVA) که می تواند به طور مخفیانه تلفن اندرویدی را به منظور باج گیری، رمزگذاری کند و حذف آن نیز بسیار سخت است، در حال حاضر مشتریان هندی را هدف قرار داده است.

ویروس SOVA پیش از این بر کشورهایی مانند ایالات متحده، روسیه و اسپانیا متمرکز بود؛ اما در ژوئیه 2022 چندین کشور دیگر از جمله هند را نیز به فهرست اهداف خود اضافه کرده است.

آژانس امنیت سایبری فدرال هند با صدور بیانیه ای اعلام کرد این ویروس که برای اولین بار در ماه ژوئیه در فضای سایبری هند شناسایی شده بود، به نسخه پنجم خود ارتقا یافته است.

مشتریان بانکداری هند مورد هدف نوع جدیدی از کمپین بدافزار بانکی تلفن همراه قرار گرفته اند. اولین نسخه از این بدافزار در سپتامبر 2021 برای فروش در بازارهای زیرزمینی با قابلیت برداشت نام‌های کاربری و گذرواژه‌ها از طریق ثبت کلید، سرقت کوکی‌ها و افزودن پوشش‌های نادرست به طیف وسیعی از برنامه‌ها ظاهر شد.

هر آنچه که باید در مورد ویروس SOVA بدانید

ویروس SOVA می‌تواند پوشش‌های کاذب را به طیف وسیعی از برنامه‌ها اضافه کند و بیش از 200 برنامه بانکی و پرداخت را تقلید کند تا کاربر اندروید را فریب دهد.

آخرین نسخه این بدافزار، خود را در برنامه‌های جعلی اندرویدی پنهان می‌کند و با لوگوی چند برنامه قانونی معروف مانند کروم، آمازون، پلتفرم NFT (توکن غیرقابل تعویض مرتبط با ارز دیجیتال) نمایش داده می‌شود تا کاربران را برای نصب آنها فریب دهد.

تیم واکنش اضطراری رایانه ای هند (CERT-In)، بازوی فناوری فدرال برای مبارزه با حملات سایبری است و از فضای اینترنت در برابر حملات فیشینگ و هک و حملات آنلاین مشابه محافظت می کند. این آژانس گفته است که این بدافزار از طریق حملات smishing (فیشینگ از طریق پیامک) مانند اکثر تروجان های بانکی اندروید، پخش می شود.

قدرت این ویروس را می‌توان از آنجا متوجه شد که می‌تواند ضربه‌های کلید را نیز جمع‌آوری کند، کوکی‌ها را سرقت کند، توکن‌های احراز هویت چند عاملی (MFA) را رهگیری کند، از یک وب‌کم عکس بگیرد و ویدیو ضبط کند و می‌تواند حرکاتی مانند کلیک روی صفحه، کشیدن انگشت و غیره را با استفاده از سرویس دسترسی اندروید انجام دهد.

یکی دیگر از ویژگی‌های کلیدی این ویروس، بر اساس بیانیه ها، بازسازی ماژول "حفاظت" آن است که هدف آن محافظت از خود در برابر اقدامات قربانیان مختلف است. به عنوان مثال، گفته شده است، اگر کاربر بخواهد بدافزار را به هر روشی حذف کند، SOVA می‌تواند با بازگشت به صفحه اصلی و نشان دادن یک پاپ آپ کوچک این اعمال را متوقف کرده و از آنها جلوگیری کند. در نتیجه این بدافزار بسیار ایمن است.

این موضوع می تواند حریم خصوصی و امنیت داده های حساس مشتری را به خطر بیندازد و منجر به حملات در مقیاس بزرگ و کلاهبرداری های مالی شود.

ویروس SOVA چگونه کار می کند؟

طبق اعلان ها، پس از نصب این برنامه جعلی اندروید بر روی گوشی، لیست تمامی برنامه های نصب شده روی دستگاه را به C2 (سرور فرمان و کنترل) که توسط نویسنده های ویروس کنترل می شود، ارسال می کند تا لیست برنامه های هدف را به دست آورند.

در این مرحله، C2 لیست آدرس‌های هر برنامه ی مورد هدف را به بدافزار ارسال می‌کند و این اطلاعات را در یک فایل XML ذخیره می‌کند. سپس این برنامه‌های انتخابی از طریق ارتباط بین بدافزار و C2 مدیریت می‌شوند.

چگونه از دستگاه اندروید خود محافظت کنیم؟

تیم واکنش اضطراری رایانه ای هند برخی از اقدامات متقابل و بهترین شیوه‌هایی را که می‌توانند توسط کاربران برای ایمن ماندن از ویروس انجام شوند، پیشنهاد کرده است. 

کاربران باید خطر دانلود برنامه‌های بالقوه مضر را با محدود کردن منابع دانلود خود به فروشگاه‌های رسمی برنامه ها، مانند فروشگاه سازنده دستگاه یا فروشگاه برنامه سیستم عامل، کاهش دهند. آنها باید همیشه جزئیات برنامه، تعداد بارگیری‌ها، نظرات کاربران، بخش اطلاعات بیشتر را بررسی کنند. همچنین باید مجوزهای برنامه را بررسی کنند و فقط اجازه ی دسترسی مواردی را که زمینه مرتبط با هدف برنامه دارند را صادر کنند.

آنها باید به‌روزرسانی‌ها و وصله‌های اندروید را مرتبا نصب کنند و وب‌سایت‌های غیرقابل اعتماد را مرور نکنند یا پیوندهای غیرقابل اعتماد را دنبال نکنند و هنگام کلیک کردن روی پیوند ارائه شده در ایمیل‌ها و پیامک‌های تبلیغاتی و اسپم، احتیاط کنند.