SOVA : le dernier logiciel malveillant bancaire pour Android représente une menace réelle

Cet article provient de Trend Micro.

Un logiciel malveillant Android récemment découvert s'est avéré capable de collecter des tonnes d'informations personnelles identifiables (PII) à partir d'appareils infectés, y compris des informations d'identification bancaire.

Baptisé SOVA (d'après le mot russe pour hibou) et découvert par la société de cybersécurité ThreatFabric, ce logiciel malveillant bancaire possède de nombreuses fonctions de vol d'informations d'identification. Le logiciel malveillant est capable d'enregistrer les frappes au clavier, de masquer les notifications, d'effectuer des attaques par superposition de sites web et de modifier les adresses des portefeuilles de crypto-monnaies sur les appareils des utilisateurs. Les développeurs du logiciel malveillant ont publié en ligne leurs futurs projets visant à permettre à SOVA de commettre des fraudes sur les appareils, d'effectuer des attaques DDOS, de déployer des ransomwares et même d'intercepter des codes d'authentification à deux facteurs. S'ils y parviennent, SOVA sera sans aucun doute le logiciel malveillant mobile le plus puissant de tous les temps.

Les chercheurs de ThreatFabric ont également souligné que SOVA est capable d'exécuter une fonction de trojan bancaire très peu commune et rarement vue dans les logiciels malveillants Android : la capacité de voler les cookies de session. Cela permet au logiciel malveillant de se greffer sur des sessions bancaires valides, ce qui signifie qu'il n'a pas besoin d'avoir les identifiants bancaires de la victime pour accéder à son compte.

"Les cookies sont un élément essentiel de la fonctionnalité web, qui permet aux utilisateurs de maintenir des sessions ouvertes sur leurs navigateurs sans avoir à réintroduire leurs informations d'identification", expliquent les chercheurs de ThreatFabric.

SOVA peut détourner la session du navigateur d'un utilisateur, remplacer un site légitime par une fausse version et voler les cookies du navigateur après la connexion. Le logiciel malveillant peut ainsi facilement voler les cookies de session d'applications web et de sites tels que Gmail et PayPal.

Les auteurs du cheval de Troie bancaire SOVA ont fait la publicité de leur produit sur des forums de piratage clandestins depuis le mois de juillet, date à laquelle ils ont commencé à chercher des personnes pour tester leur code malveillant.

Des institutions financières du monde entier ont été visées, mais les données communiquées par ThreatFabric montrent que les pays les plus attaqués sont les États-Unis, le Royaume-Uni et la Russie.

Comment puis-je protéger mon appareil contre la SOVA ?

Trend Micro Mobile Security (TMMS) offre des capacités anti-programmes malveillants complètes grâce à sa fonction Security Scan en temps réel. Security Scan vous avertit de la présence de programmes malveillants cachés dans des applications avant qu'elles ne soient installées sur votre dispositif.

Actuellement, Trend Micro Mobile Security peut détecter les échantillons suivants de programmes malveillants Android SOVA :

Trend Micro Mobile Security peut également détecter si SOVA tente de vous faire croire que vous utilisez un vrai site Web ou une vraie application, protégeant ainsi vos informations de connexion contre le vol.