S.O.V.A. Android Trojan

Un nuevo troyano Android amenazante ha surgido en foros clandestinos de piratas informáticos, donde sus creadores anuncian la amenaza y buscan probadores. A pesar de que todavía está en desarrollo, la amenaza llamada S.O.V.A. ya posee una amplia gama de capacidades amenazantes que puede realizar en los dispositivos violados. Si las funciones que se planea incluir en las versiones futuras se activan, S.O.V.A. podría convertirse en la amenaza más sofisticada y versátil de este tipo, hasta ahora, al combinar la automatización, el malware bancario y las capacidades de botnet.

La versión actual de S.O.V.A. está diseñada para apuntar a múltiples aplicaciones populares (aplicaciones bancarias y de compras, así como programas de billetera criptográfica). Los atacantes pueden comenzar a recopilar información de identificación personal, así como detalles bancarios y de pago. La amenaza es capaz de registrar pulsaciones de teclas, recopilar credenciales y cookies de sesión mediante técnicas de superposición, modificar el portapapeles inyectando una dirección de billetera criptográfica específica para redirigir fondos y ocultar las notificaciones del sistema.

Sin embargo, el segundo grupo de características que se agregará en una fecha posterior ampliará enormemente el potencial de S.O.V.A. para causar daños. Los creadores planean agregar una funcionalidad DDoS, un código dropper de ransomware y una rutina para interceptar códigos 2FA (autenticación de dos factores). La Computación de red virtual (VNC) también podría explotarse, lo que permitiría a los atacantes realizar actividades de fraude en el dispositivo.

Según los datos publicados por ThreatFabric, la firma de ciberseguridad que descubrió la amenaza, S.O.V.A. ha estado apuntando a usuarios de múltiples países diferentes en varios continentes, siendo EE. UU. Y el Reino Unido los que tienen la mayor cantidad de detecciones, seguidos de Rusia, Alemania y Turquía.