Une nouvelle souche dangereuse de ransomware a évolué pour cibler les appareils Android, préviennent les chercheurs.
Les experts de Cleafy ont analysé la cinquième et dernière version du célèbre cheval de Troie bancaire Android SOVA et ont découvert plusieurs nouvelles fonctionnalités, notamment la possibilité de chiffrer les fichiers stockés localement.
Selon les chercheurs, le logiciel malveillant (s'ouvre dans un nouvel onglet) utilise le cryptage AES pour ajouter l'extension .enc à tous les fichiers et empêcher l'utilisateur d'y accéder.
Développement du cheval de Troie
"La fonctionnalité du ransomware est assez intéressante car elle n'est pas encore courante dans le paysage des chevaux de Troie bancaires Android. La plupart des gens stockent de manière centralisée leurs données personnelles et professionnelles", a déclaré Cleafy. dit.
La cinquième version du cheval de Troie n'est pas entièrement développée, ont ajouté les chercheurs, mais ont averti qu'il était néanmoins prêt pour un déploiement massif.
Les propriétaires de SOVA ont développé leur produit de manière agressive au cours des deux derniers mois. Jusqu'à présent cette année, de nombreux nouveaux outils ont été introduits dans l'outil, y compris l'interception d'authentification à deux facteurs, ainsi que de nouvelles injections pour diverses banques mondiales. Il a également vu des capacités de calcul de réseau virtuel (VNC) pour la fraude sur l'appareil. Cette fonctionnalité, cependant, semble être encore en construction.
SOVA peut actuellement cibler plus de 200 banques dans le monde, ainsi que de nombreux échanges de crypto-monnaie et portefeuilles numériques. Il est capable de prendre des captures d'écran, d'effectuer des tapotements et des balayages, de voler des fichiers à partir de points de terminaison compromis et d'ajouter des superpositions d'écran pour diverses applications. Il peut également voler des cookies de Gmail, Gpay et Google Password Manager.
Jusqu'à présent, les rançongiciels (s'ouvre dans un nouvel onglet) étaient limités aux ordinateurs de bureau et aux serveurs uniquement, car leurs opérateurs étaient principalement intéressés par le ciblage des entreprises et des sociétés. Il semble que les acteurs de la menace cherchent à se diversifier à mesure que les entreprises s'améliorent dans la protection de leurs installations et le maintien de sauvegardes isolées.
Via : BleepingComputer (Ouvre dans un nouvel onglet)