El nuevo troyano bancario para Android SOVA podría comenzar a distribuir Ransomware y ataques DDoS

Se ha descubierto un troyano bancario para Android que, a pesar de estar en sus etapas más tempranas de desarrollo, quienes lo descubrieron creen que tiene el potencial de convertirse en “uno de los bots más avanzados que se encuentren en circulación”. El troyano SOVA es un troyano bancario que planea incorporar habilidades de ransomware y ser capaz de lanzar ataques distribuidos de negación de servicio (DDoS) y de intermediario o “man in the middle” (MitM).

SOVA, que significa “búho” en ruso, fue descubierto en agosto por investigadores de ThreatFabric. Los análisis indican que el malware se encuentra en una etapa inicial, pero aun en esta instancia precaria el malware intenta robar credenciales bancarias, información de acceso a billeteras virtuales y datos personales de los usuarios que podrían usarse para cometer delitos de robo de identidad.

La versión actual del programa puede actuar como keylogger, esconder notificaciones, robar cookies y alterar el clipboard, además de que tiene promesas de incorporar fraude mediante VNC, lanzar ataques DDoS, de superposición, propagar ransomware e interceptar códigos de autentificación de dos factores, entre otras cosas.

“Si los autores mantienen sus planes (…), estas características convertirían a SOVA en el malware para Android con mayor cantidad de características del mercado, y se podría convertir en la “nueva norma” para los troyanos bancarios para Android que afectan a instituciones financieras”, explicó ThreatFabric.

Además, el programa está desarrollado en su totalidad en Kotlin, un lenguaje de programación para Android que podría convertirse en uno de los principales en el desarrollo de aplicaciones para Android.

A pesar de que el troyano sigue en desarrollo, los investigadores de seguridad de ThreatFabric han encontrado avisos en foros cibercriminales publicitando la amenaza y buscando personas que puedan utilizarlo para poner a prueba sus capacidades de bot en grandes cantidades de dispositivos. Los cibercriminales que lo ofertan aclaran que no es una versión modificada de Cerberus/Anubis, sino que es un programa que está escrito desde cero.

“SOVA es un proyecto que está en su infancia y aun en esta instancia ofrece las características básicas de cualquier malware bancario de Android”, indicaron los investigadores. “Sin embargo, es evidente que el autor a cargo de este bot tiene altas expectativas para su producto, y esto puede verse en la dedicación del autor para poner SOVA a prueba con terceros, además de su evidente plan de acción con sus características”.

Fuentes

SOVA, Worryingly Sophisticated Android Trojan, Takes Flight ThreatPost
New SOVA Android Banking trojan is rapidly growing Security Affairs
SOVA: New Android Banking Trojan Emerges With Growing Capabilities The Hacker News