Malware bancário para Android tem atuação global e pode agir como ransomware

O SOVA, um dos malwares mais versáteis para o sistema operacional Android, quer trazer de volta uma velha tática dos primórdios dos sequestros digitais. Em uma nova atualização, o time de criminosos por trás do vírus não apenas adicionou capacidades mais furtivas a ele, como também a possibilidade de agir como ransomware, travando arquivos e solicitando resgate de usuários comuns.

• Vírus que assinam serviços ainda ameaçam usuários do Android, diz Microsoft
• Malware de Android e iOS continua se espalhando aos milhares pela Europa

A praga segue em franca atualização, com nada menos do que três novas versões lançadas apenas neste ano. Hoje, o SOVA é capaz de atingir clientes de mais de 200 bancos em todo o mundo, incluindo alguns do Brasil, bem como outros aplicativos financeiros, câmbios e carteiras de criptomoedas. Em sua quinta versão, analisada pelos especialistas em segurança da Cleafy, surge o módulo de ransomware, ainda em desenvolvimento pelos criminosos.

Na amostra analisada, a praga é capaz de codificar os arquivos do aparelho em um formato .ENC, enquanto exibe, na tela, uma nota de resgate e as informações para realização de pagamento. Segundo os pesquisadores, a nova versão ainda está em seus estágios iniciais e não vem sendo disseminada em massa, mas já seria capaz de realizar ataques e travar dados caso receba esse tipo de comando de um servidor controlado pelos bandidos.

Essa, inclusive, continua como a peça central do SOVA, que ao contaminar um aparelho, envia à infraestrutura a lista de apps baixados no celular da vítima. Caso haja correspondência com um software bancário ou financeiro visado, o vírus recebe de volta as telas de sobreposição que devem ser utilizadas para induzir o usuário a entregar informações e credenciais, enquanto, por trás, ocorrem as transações fraudulentas que esvaziam contas, furtam informações de cartão de crédito ou realizam transferências de criptomoedas.

Melhorias no código aumentam a furtividade da ameaça e reduzem a possibilidade de ela ser detectada por softwares de segurança. Em versões anteriores, também já haviam sido adicionadas funcionalidades relacionadas ao roubo de cookies dos navegadores, em busca de sessões ativas que pudessem ser usadas em fraudes financeiras, e um módulo focado exclusivamente em carteiras da Binance, com foco no furto da frase de segurança.

A atualização traz o SOVA à sua versão 5.0 e, enquanto ela ainda não está sendo disseminada em massa, isso não quer dizer que isso não possa começar a acontecer em qualquer momento. O foco da ameaça continua sobre os bancos da Espanha, Filipinas e Estados Unidos, com quase 100 instituições atingidas nestes três países, mas nada impede, também, que uma disseminação internacional em maior escala não possa acontecer a qualquer momento, principalmente quando falamos de instituições globais do mercado de criptomoedas.

Como sempre, a recomendação é de atenção do download de soluções para o celular Android; isso só deve ser feito de lojas oficiais do sistema operacional ou da fabricante do aparelho. Ao realizar a instalação, ainda, prefira soluções e desenvolvedores reconhecidos, com boas avaliações, e evite clicar em links que cheguem por e-mail ou mensageiros instantâneos, além de anúncios ou alertas em sites acessados pelo celular.

Fonte: Cleafy