Una nueva variedad de ransomware peligroso ha evolucionado para apuntar a los dispositivos Android, advierten los investigadores.
Los expertos de Cleafy analizaron la quinta y última versión del popular troyano bancario para Android SOVA y descubrieron múltiples características nuevas, incluida la capacidad de cifrar archivos almacenados localmente.
Según los investigadores, el malware (se abre en una pestaña nueva) utiliza el cifrado AES para agregar la extensión .enc a todos los archivos y evitar que el usuario acceda a ellos.
Desarrollando el troyano
«La función de ransomware es bastante interesante, ya que todavía no es común en el panorama de los troyanos bancarios de Android. Aprovecha fuertemente la oportunidad que surge en los últimos años, ya que los dispositivos móviles se convirtieron para la mayoría de las personas en el almacenamiento central de datos personales y comerciales», dijo Cleafy. dice.
La quinta versión del troyano no está completamente desarrollada, agregaron los investigadores, pero advirtieron que, sin embargo, está lista para su implementación masiva.
Los propietarios de SOVA han estado desarrollando agresivamente su producto durante los últimos meses. En lo que va del año, la herramienta ha visto numerosas herramientas nuevas introducidas, incluida la interceptación de autenticación de dos factores, así como nuevas inyecciones para múltiples bancos globales. También ha visto capacidades de computación de red virtual (VNC) para el fraude en el dispositivo. Esta característica, sin embargo, todavía parece estar en construcción.
Actualmente, SOVA es capaz de dirigirse a más de 200 bancos en todo el mundo, así como a numerosos intercambios de criptomonedas y billeteras digitales. Es capaz de tomar capturas de pantalla, realizar toques y deslizamientos, robar archivos de puntos finales comprometidos y agregar pantallas superpuestas para varias aplicaciones. También puede robar cookies de Gmail, Gpay y Google Password Manager.
Hasta ahora, ransomware (se abre en una pestaña nueva) solo estaba reservado para dispositivos de escritorio y servidores, ya que sus operadores estaban principalmente interesados en empresas y corporaciones. Parece que los actores de amenazas buscan diversificarse, a medida que las empresas mejoran en la protección de sus instalaciones y mantienen copias de seguridad con airgapped.
Vía: BleepingComputer (se abre en una pestaña nueva)