Nuevo virus de banca móvil SOVA merodea en el ciberespacio indio

El nuevo virus ‘troyano’ de banca móvil, SOVA, que se enfocaba en países como EE. UU., Rusia y España, en julio de 2022 agregó varios otros países, incluida India, a su lista de objetivos.

El nuevo virus ‘troyano’ de banca móvil, SOVA, que se enfocaba en países como EE. UU., Rusia y España, en julio de 2022 agregó varios otros países, incluida India, a su lista de objetivos.

Un nuevo virus ‘troyano’ de banca móvil, SOVA, que puede cifrar sigilosamente un teléfono Android para pedir un rescate y es difícil de desinstalar, está dirigido a clientes indios, dijo la agencia federal de seguridad cibernética del país en su último aviso.

El virus se actualizó a su quinta versión después de que se detectara por primera vez en el ciberespacio indio en julio, dijo.

“Se informó a CERT-In que los clientes bancarios indios están siendo atacados por un nuevo tipo de campaña de malware de banca móvil que utiliza el troyano Android SOVA. La primera versión de este malware apareció a la venta en mercados clandestinos en septiembre de 2021 con la capacidad de recopilar nombres de usuario y contraseñas a través del registro de claves, robar cookies y agregar superposiciones falsas a una variedad de aplicaciones”, dijo el aviso.

SOVA, dijo, se estaba enfocando anteriormente en países como EE. UU., Rusia y España, pero en julio de 2022 agregó varios otros países, incluida India, a su lista de objetivos.

La última versión de este malware, según el aviso, se esconde dentro de aplicaciones falsas de Android que aparecen con el logotipo de algunas aplicaciones legítimas famosas como Chrome, Amazon, plataforma NFT (token no fungible vinculado a moneda criptográfica) para engañar a los usuarios. en instalarlos.

“Este malware captura las credenciales cuando los usuarios inician sesión en sus aplicaciones bancarias en red y acceden a cuentas bancarias. La nueva versión de SOVA parece estar dirigida a más de 200 aplicaciones móviles, incluidas las aplicaciones bancarias y los intercambios/billeteras de criptomonedas”, dijo el aviso.

El Equipo Indio de Respuesta a Emergencias Informáticas o CERT-In es el brazo tecnológico federal para combatir los ataques cibernéticos y protege el espacio de Internet contra ataques de phishing y piratería y ataques en línea similares.

La agencia dijo que el malware se distribuye a través de ataques de smishing (phishing a través de SMS), como la mayoría de los troyanos bancarios de Android.

“Una vez que la aplicación de Android falsa está instalada en el teléfono, envía la lista de todas las aplicaciones instaladas en el dispositivo al C2 [command and control server] controlado por el actor de la amenaza para obtener la lista de aplicaciones específicas”.

“En este punto, el C2 devuelve al malware la lista de direcciones para cada aplicación objetivo y almacena esta información dentro de un archivo XML. Estas aplicaciones dirigidas luego se administran a través de las comunicaciones entre el malware y el C2”, dijo.

La letalidad del virus se puede medir por el hecho de que puede recopilar pulsaciones de teclas, robar cookies, interceptar tokens de autenticación multifactor (MFA), tomar capturas de pantalla y grabar videos desde una cámara web y puede realizar gestos como hacer clic en la pantalla, deslizar, etc. usando Servicio de accesibilidad de Android.

También puede agregar superposiciones falsas a una variedad de aplicaciones e “imitar” más de 200 aplicaciones bancarias y de pago para engañar al usuario de Android.

“Se descubrió que los creadores de SOVA lo actualizaron recientemente a su quinta versión desde su inicio, y esta versión tiene la capacidad de encriptar todos los datos en un teléfono Android y retenerlos para pedir rescate”, dijo.

Otra característica clave del virus, según el aviso, es la refactorización de su módulo de “protecciones”, cuyo objetivo es protegerse de las diferentes acciones de las víctimas.

Por ejemplo, dijo, si el usuario intenta desinstalar el malware de la configuración o presiona el ícono, SOVA puede interceptar estas acciones y evitarlas al regresar a la pantalla de inicio y mostrar un brindis (pequeña ventana emergente) que muestra “Esta aplicación está asegurado”.

Estas campañas de ataque pueden poner en peligro la privacidad y la seguridad de los datos confidenciales de los clientes y dar lugar a ataques y fraudes financieros a “gran escala”, dijo.

La agencia también sugirió algunas contramedidas y mejores prácticas que los usuarios pueden poner en práctica para mantenerse a salvo del virus.

Los usuarios deben reducir el riesgo de descargar aplicaciones potencialmente dañinas al limitar sus fuentes de descarga a las tiendas de aplicaciones oficiales, como el fabricante de su dispositivo o la tienda de aplicaciones del sistema operativo. “Información”, decía.

También se deben verificar los permisos de la aplicación y otorgar solo aquellos que tengan un contexto relevante para el propósito de la aplicación.

Deben instalar actualizaciones y parches regulares de Android y no navegar por sitios web que no sean de confianza o seguir enlaces que no sean de confianza y tener cuidado al hacer clic en el enlace proporcionado en cualquier correo electrónico o SMS no solicitado.