Le nouveau virus « cheval de Troie » de la banque mobile – SOVA – qui se concentrait sur des pays comme les États-Unis, la Russie et l’Espagne, a ajouté en juillet 2022 plusieurs autres pays, dont l’Inde, à sa liste de cibles.
Le nouveau virus « cheval de Troie » de la banque mobile – SOVA – qui se concentrait sur des pays comme les États-Unis, la Russie et l’Espagne, a ajouté en juillet 2022 plusieurs autres pays, dont l’Inde, à sa liste de cibles.
Un nouveau virus « cheval de Troie » bancaire mobile – SOVA – qui peut crypter furtivement un téléphone Android contre une rançon et est difficile à désinstaller cible les clients indiens, a déclaré l’agence fédérale de cybersécurité du pays dans son dernier avis.
Le virus est passé à sa cinquième version après avoir été détecté pour la première fois dans le cyberespace indien en juillet, a-t-il déclaré.
« Il a été signalé à CERT-In que les clients bancaires indiens sont ciblés par un nouveau type de campagne de logiciels malveillants bancaires mobiles utilisant le cheval de Troie Android SOVA. La première version de ce logiciel malveillant est apparue en vente sur les marchés clandestins en septembre 2021 avec la possibilité de récolter des noms d’utilisateur et des mots de passe via l’enregistrement de clés, de voler des cookies et d’ajouter de fausses superpositions à une gamme d’applications », indique l’avis.
SOVA, a-t-il déclaré, se concentrait auparavant sur des pays comme les États-Unis, la Russie et l’Espagne, mais en juillet 2022, il a ajouté plusieurs autres pays, dont l’Inde, à sa liste de cibles.
La dernière version de ce malware, selon l’avis, se cache dans de fausses applications Android qui apparaissent avec le logo de quelques applications légitimes célèbres comme Chrome, Amazon, NFT (jeton non fongible lié à la crypto-monnaie) plate-forme pour tromper les utilisateurs à les installer.
“Ce logiciel malveillant capture les informations d’identification lorsque les utilisateurs se connectent à leurs applications bancaires en ligne et accèdent aux comptes bancaires. La nouvelle version de SOVA semble cibler plus de 200 applications mobiles, y compris des applications bancaires et des échanges/portefeuilles cryptographiques », indique l’avis.
L’équipe indienne d’intervention d’urgence informatique ou CERT-In est la branche technologique fédérale pour lutter contre les cyberattaques et protège l’espace Internet contre les attaques de phishing et de piratage et les attaques en ligne similaires.
L’agence a déclaré que le malware est distribué via des attaques de smishing (hameçonnage par SMS), comme la plupart des chevaux de Troie bancaires Android.
« Une fois la fausse application android installée sur le téléphone, elle envoie la liste de toutes les applications installées sur l’appareil au C2 [command and control server] contrôlée par l’auteur de la menace afin d’obtenir la liste des applications ciblées.
« À ce stade, le C2 renvoie au logiciel malveillant la liste des adresses de chaque application ciblée et stocke ces informations dans un fichier XML. Ces applications ciblées sont ensuite gérées via les communications entre le logiciel malveillant et le C2 », a-t-il déclaré.
La létalité du virus peut être évaluée à partir du fait qu’il peut collecter des frappes au clavier, voler des cookies, intercepter des jetons d’authentification multi-facteurs (MFA), prendre des captures d’écran et enregistrer des vidéos à partir d’une webcam et peut effectuer des gestes tels que cliquer sur l’écran, balayer, etc. service d’accessibilité Android.
Il peut également ajouter de fausses superpositions à une gamme d’applications et “imiter” plus de 200 applications bancaires et de paiement afin d’escroquer l’utilisateur d’Android.
“Il a été découvert que les fabricants de SOVA l’ont récemment mis à niveau vers sa cinquième version depuis sa création, et cette version a la capacité de crypter toutes les données sur un téléphone Android et de les retenir contre une rançon”, a-t-il déclaré.
Une autre caractéristique clé du virus, selon l’avis, est la refactorisation de son module de “protections”, qui vise à se protéger des différentes actions des victimes.
Par exemple, dit-il, si l’utilisateur essaie de désinstaller le logiciel malveillant à partir des paramètres ou en appuyant sur l’icône, SOVA est capable d’intercepter ces actions et de les empêcher en retournant à l’écran d’accueil et en affichant un toast (petit popup) affichant “Cette application est sécurisé ».
Ces campagnes d’attaques peuvent effectivement mettre en péril la confidentialité et la sécurité des données sensibles des clients et entraîner des attaques et des fraudes financières “à grande échelle”, a-t-il déclaré.
L’agence a également suggéré quelques contre-mesures et meilleures pratiques qui peuvent être mises en œuvre par les utilisateurs pour se protéger du virus.
Les utilisateurs doivent réduire le risque de télécharger des applications potentiellement dangereuses en limitant leurs sources de téléchargement aux magasins d’applications officiels, tels que le fabricant de votre appareil ou le magasin d’applications du système d’exploitation. Ils doivent toujours consulter les détails de l’application, le nombre de téléchargements, les avis des utilisateurs, les commentaires et les “informations supplémentaires”. section «Informations», a-t-il déclaré.
Il convient également de vérifier les autorisations de l’application et d’accorder uniquement celles qui ont un contexte pertinent pour l’objectif de l’application.
Ils doivent installer des mises à jour et des correctifs Android réguliers et ne pas naviguer sur des sites Web non fiables ou suivre des liens non fiables et faire preuve de prudence lorsqu’ils cliquent sur le lien fourni dans les e-mails et SMS non sollicités.
