A inicios del mes de agosto del 2021 investigadores de ThreatFabric descubrieron un troyano bancario denominado SOVA (búho en ruso), el cual está en fase de desarrollo inicial, sin embargo, tiene potencial para convertirse en una amenaza de alto riesgo.
SOVA en su primera versión tiene características similares a otros troyanos, como la superposición bancaria, manipulación de notificaciones y keylogging, pero los creadores de SOVA plantean añadir características que permitan realizar ataques de denegación de servicio distribuidos (DDoS) , hombre en el medio (MiTM) y funcionalidades de ransomware.
Los autores del malware han anunciado una superposición de tres etapas, lo que podría indicar la descarga de software adicional en el dispositivo.
Los investigadores atribuyen como característica destacada de SOVA el robo de cookies de sesión, lo cual permitiría a los atacantes tener acceso a sesiones válidas de los usuarios sin la necesidad de conocer las credenciales, para ello SOVA creará un WebView para abrir una URL web legítima para la aplicación de destino y robará las cookies una vez que la víctima inicie sesión correctamente, utilizando el CookieManager de Android.
El troyano actualmente está dirigido a aplicaciones bancarias móviles de bancos en Estados Unidos, Reino Unido, Rusia, Alemania, Turquía, España, Italia, Australia y Ucrania, sin embargo, en foros de Dark Web los autores de SOVA ofrecen el desarrollo para otros bancos según la demanda de quien adquiera el software.
ThreatFabric ha publicado algunos indicadores de compromiso que se detallan a continuación:
Hash de versiones del malware:
- 8a6889610a18296e812fabd0a4ceb8b75caadc5cec1b39e8173c3e0093fd3a57
- efb92fb17348eb10ba3a93ab004422c30bcf8ae72f302872e9ef3263c47133a7
- dd8a5a1a8632d661f152f435b7afba825e474ec0d03d1c5ef8669fdc2b484165
- b2e592c5cf8ccc944c06a11ff156efdfa4233fe46e2281bab3fd238f03b505e3
URLs de comunicación C2
- hxxp://l8j1nsk3j5h1msal973nk37[.]divertido
- hxxp://a0545193.xsph[.]ru
Carteras de criptomonedas
- BTC 18PJPLZutdZUV16uiXkX9KXX1kHw5UiJHV
- ETH 0xbD1bB3101fCc1A2724C3c5c4F10Fa062DF87E134
- BNB bnb1lwf4kzw74wuf0zmsg25fjh44pzpdwhavn3n9dq
- TRX TUGyDe7eGJi2DVDMxc2KExksF29vHsZcQm
Se recomienda no instalar aplicaciones que no sean verificadas por la tienda de aplicaciones de Android (Google Play Store), o aplicaciones bancarias no reconocidas por su institución financiera.
Más información: