Une nouvelle souche de rançongiciel dangereux a évolué pour cibler les appareils Android, avertissent les chercheurs.
Les experts de Cleafy ont analysé la cinquième et dernière version du célèbre cheval de Troie bancaire Android SOVA et ont découvert plusieurs nouvelles fonctionnalités, notamment la possibilité de chiffrer les fichiers stockés localement.
Selon les chercheurs, le malware (s’ouvre dans un nouvel onglet) utilise le cryptage AES pour ajouter l’extension .enc à tous les fichiers et empêcher l’utilisateur d’y accéder.
Développer le cheval de Troie
« La fonctionnalité de rançongiciel est assez intéressante car elle n’est toujours pas courante dans le paysage des chevaux de Troie bancaires Android. Elle tire fortement parti de l’opportunité qui s’est présentée ces dernières années, car les appareils mobiles sont devenus pour la plupart des gens le stockage central des données personnelles et professionnelles », a déclaré Cleafy. dit.
La cinquième version du cheval de Troie n’est pas entièrement développée, ont ajouté les chercheurs, mais ont averti qu’elle était néanmoins prête pour un déploiement de masse.
Les propriétaires de SOVA ont développé leur produit de manière agressive au cours des deux derniers mois. Jusqu’à présent cette année, l’outil a vu de nombreux nouveaux outils introduits, y compris l’interception d’authentification à deux facteurs, ainsi que de nouvelles injections pour plusieurs banques mondiales. Il a également vu des capacités de calcul de réseau virtuel (VNC) pour la fraude sur l’appareil. Cette fonctionnalité, cependant, semble encore en construction.
SOVA est actuellement capable de cibler plus de 200 banques dans le monde, ainsi que de nombreux échanges de crypto-monnaie et portefeuilles numériques. Il est capable de prendre des captures d’écran, d’effectuer des tapotements et des balayages, de voler des fichiers à partir de points de terminaison compromis et d’ajouter des écrans de superposition pour diverses applications. Il peut également voler des cookies de Gmail, Gpay, ainsi que Google Password Manager.
Jusqu’à présent, les rançongiciels (s’ouvre dans un nouvel onglet) était uniquement réservé aux appareils de bureau et aux serveurs, car ses opérateurs étaient principalement intéressés par le ciblage des entreprises et des sociétés. Il semble que les acteurs de la menace cherchent à se diversifier, à mesure que les entreprises s’améliorent dans la protection de leurs locaux et la conservation de sauvegardes isolées.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)