Cyberthreat.id – Trojan perbankan Android SOVA terus meningkatkan kemampuannya dengan menambahkan fitur ransomware baru untuk mengenkripsi file di perangkat android pengguna.

Dikutip dari Bleeping Computer, dengan fitur baru ini, malware SOVA kini menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency, dan dompet digital, mencoba mencuri data pengguna dan cookie sensitif dari mereka.

Analis ancaman di perusahaan keamanan seluler Cleafy yang mengikuti SOVA sejak September 2021 lalu, mengungkapkan bahwa perkembang SOVA terhitung sangat pesat pada 2022. Mereka diketahui memiliki fitur refactored dan kode yang ditingkatkan yang membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbarunya, 5.0, menambahkan modul ransomware.

Sebelumnya, pada Maret 2022, SOVA merilis versi 3, menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk banyak bank di seluruh dunia. Suntikan adalah hamparan yang ditampilkan di atas permintaan masuk yang sah yang digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.

Kemudian, pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil hingga 200 aplikasi yang ditargetkan, dan menambahkan kemampuan VNC (komputasi jaringan virtual) untuk penipuan di perangkat. Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML yang berisi daftar alamat yang mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.

“Versi utama keempat juga menambahkan dukungan untuk perintah seperti mengambil tangkapan layar, melakukan klik dan gesekan, menyalin dan menempel file, dan menyajikan layar overlay sesuka hati,” kata peneliti.

Peneliti mengatakan, rilis ini juga melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencuri cookie, sekarang menargetkan Gmail, GPay, dan Google Password Manager. SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin Aksesibilitas untuk mendorong pengguna kembali ke layar beranda jika mereka mencoba mencopot pemasangan aplikasi secara manual.

“Terakhir, versi keempat berfokus pada Binance dan aplikasi 'Trust Wallet' platform, menggunakan modul khusus yang dibuat untuk mencuri frase benih rahasia pengguna,” kata SOVA.

Bahkan, baru-baru ini, peneliti mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak perbaikan kode dan penambahan fitur baru seperti modul ransomware. Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi ".enc" pada file yang telah diubah namanya dan dienkripsi.

“Fitur ransomware cukup menarik karena masih belum umum di lanskap trojan perbankan Android. Ini sangat memanfaatkan peluang yang muncul dalam beberapa tahun terakhir, karena perangkat seluler menjadi pusat penyimpanan data pribadi dan bisnis bagi kebanyakan orang,” kata peneliti.

Sementara itu, versi kelima belum diedarkan secara luas, dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan. Bahkan dalam bentuknya yang belum selesai saat ini, SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi kewaspadaan disarankan untuk semua pengguna Android.

Peneliti menambahkan, pembuat malware tampak bertekad dan mampu memenuhi janji September 2021 mereka, tetap berpegang pada garis waktu pengembangan dan menambahkan fitur-fitur canggih setiap beberapa bulan. Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat, karena trojan perbankan sekarang menetapkan dirinya sebagai salah satu pelopor ransomware seluler yang masih belum dijelajahi.