Novo malware para Android pode agir como ransomware mundialmente

O SOVA, malware para Android já conhecido como um dos mais versáteis, está voltando em sua nova atualização. Agora, o time de criminosos por trás do vírus resgata velhas táticas de sequestro digital, porém adicionando capacidades mais furtivas. Ou seja, agora o SOVA pode agir como ransomware, e além de travar arquivos para os cibercriminosos pedirem resgate, os planos são de atuação global.

Apenas este ano, três novas versões foram lançadas. Atualmente, o SOVA é um malware para android com foco bancário. O malware para Android é capaz de atingir mais de 200 bancos no Brasil e no mundo, assim como aplicativos financeiros, câmbios e carteiras de criptomoedas.

Continue lendo para saber mais sobre esse novo malware para Android, como ele funciona e quais medidas de cibersegurança podem ser tomadas.

O malware para Android em 2022

O módulo ransomware do SOVA vem sendo analisado pelos especialistas em segurança da Cleafy. Segundo suas análises, desde março de 2022, múltiplas versões do SOVA foram detectadas já com a implementação de features de ransomware. Algumas delas foram: Intercepção de autenticação de dois fatores, roubo de cookies (em busca de sessões ativas para fraudes) e táticas para novos alvos e países, como os bancos filipinos, por exemplo.

Leia também: Ransomware atinge novamente a indústria japonesa

Em julho de 2022, os especialistas descobriram uma nova versão do SOVA, a v4. Ela apresenta novas capacidades e tem o objetivo de atingir mais de 200 aplicações mobile, incluindo apps bancários.

O SOVA v4 já era capaz de obter screenshots de dispositivos infectados para reunir informações das vítimas. Além disso, o malware para Android também realiza gravações e rouba informações sensíveis. A v4 tem capacidade para receber múltiplos comandos, tais como: clique na tela, swipe, copia e cola, e também o overlay de telas para esconder-se das vítimas.

Ainda mais do que isso, a v4 possui um modo de proteção contra diferentes ações das vítimas. Por exemplo, se o usuário tentar desinstalar o malware nas configurações ou pressionando o ícone, o SOVA é capaz de interceptar essas ações e prevenir que a vítima retorne para a tela inicial. O que ela verá será um pequeno popup com a frase: “This app is secured” (Esse app possui segurança).

Malware para Android: A quinta versão do SOVA

A atualização mais recente do SOVA é a quinta, que ainda está em desenvolvimento pelos criminosos.  Na amostra analisada pela Cleafy, a 5.0 é capaz de codificar os arquivos do aparelho em formato .ENC, enquanto exibe na tela uma nota de resgate e as informações para realização de pagamento.

A 5.0 do malware para Android é capaz de realizar ataques e travar dados caso receba esse tipo de comando de um servidor controlado pelo time de cibercriminosos. Ao contaminar o aparelho, a 5.0 envia à infraestrutura toda a lista de apps baixados no aparelho da vítima.

Dessa forma, caso seja identificado um software bancário ou financeiro visado pelos criminosos, o SOVA recebe de volta cada uma das telas de sobreposição que devem ser utilizadas para induzir o usuário a entregar informações e credenciais.

Nesse meio tempo, o malware para Android induz a vítima a entregar informações e credenciais, enquanto, por trás, os criminosos esvaziam contas por meio de furtos de informações de cartão de crédito. Também é possível realizar transferências de criptomoedas nessas transações fraudulentas.

O foco do SOVA 5.0 são os bancos da Espanha, Filipinas e Estados Unidos. Até o momento, já foram quase 100 instituições atingidas nestes três países. Uma disseminação em massa da versão 5.0 pode ocorrer a qualquer momento.

Leia também: As 12 principais ameaças cibernéticas em 2022

Como se proteger do malware para Android

Por enquanto, a principal recomendação da Cleafy é de se atentar ao que se baixa no aparelho de celular Android. O ideal é baixar somente os apps de lojas oficiais do sistema operacional ou da fabricante do aparelho.

Além disso, uma dica importante é se atentar aos desenvolvedores do aplicativo. Prefira baixar apps de desenvolvedores reconhecidos e bem avaliados. Também é preciso evitar clicar em links que cheguem por e-mail ou mensageiros instantâneos, anúncios suspeitos ou alertas em sites de versão mobile.

De acordo com uma pesquisa da Kaspersky Labs, somente 53% dos usuários Android possuem proteção, enquanto 99% dos malwares de dispositivo móvel detectados foram criados para essa plataforma.

Portanto, se você é um usuário Android, atente-se aos cuidados:

• Crie senhas fortes;
• Desconfie de mensagens de texto;
• Verifique o símbolo de cadeado no navegador;
• Baixe apps de fontes confiáveis.

Para uma segurança reforçada, é indicado buscar um agente de segurança de acesso à nuvem (CASB). A rede precisa proteger o local que funcionários trabalham, e o dispositivo que utilizam para isso, inclusive na nuvem.

Assim, é interessante buscar um CASB para usá-lo como gateway entre a infraestrutura local e os aplicativos de nuvem, como Salesforce e Dropbox. Um CASB identifica aplicativos mal-intencionados na nuvem e protege contra violações com um mecanismo de prevenção de perda de dados na nuvem (DLP).

Neste caso, é essencial escolher um parceiro especialista em infraestrutura de TI, que ficará responsável pela execução de toda a estratégia, que é rápida e não impacta a rotina da organização.   

E, sem dúvida, a AMTI, empresa de tecnologia sediada em Maringá, pode ajudar sua empresa! Somos especialistas em MCSP (Managed Cloud Service Provider), Engenharia de Datacenters e construção de ambientes estáveis, escaláveis e flexíveis e temos como lema ajudar sua empresa #sempre!

Para saber mais sobre o que acontece no mercado de TI e como podemos ajudar, fique sempre ligado no Blog da AMTI!