Nieuwe malware kan smartphones infecteren met ransomware, onthullen onderzoekers
We hebben de neiging om ransomware te beschouwen als iets dat zich vooral richt op bedrijven en organisaties, en dit voornamelijk door toegang te krijgen tot hun netwerken. Toch hebben beveiligingsonderzoekers van Cleafy een verontrustende nieuwe bedreigingsmodule ontdekt tijdens het analyseren van de nieuwste versies van de SOVA-trojan voor mobiel bankieren die in juli opdook. Bovendien hebben ze bewijs gevonden dat de malware je Gmail-, GPay- en Google Password Manager-cookies wil stelen.
Wat is de SOVA-smartphone-malware en wat kan het doen?
Dit complexe en krachtige stuk Android-malware is in staat om tweefactorauthenticatiecodes te onderscheppen, cookies en gegevens te stelen, schermafbeeldingen te maken en zichzelf te beschermen tegen verwijdering. Versie 4 van de malware, verkocht via dark web criminele forums, kan “bewegingen opnemen en uitvoeren”, evenals “meerdere commando’s beheren”, aldus het Cleafy-rapport. Die commando’s omvatten klikken, vegen, kopiëren, plakken en die oude kastanje, het activeren van een overlay-scherm om te verbergen wat er gebeurt voor de gebruiker.
Gmail, GPay en Google Password Manager cookies in het vizier
Hoewel bankieren, winkelen en misschien voorspelbaar crypto-uitwisselingen en portefeuilles de primaire doelen zijn, bevat de nieuwste versie van SOVA naar verluidt meer dan 200 apps op de targetinglijst.
Als het gaat om het stelen van cookies, stelt het Cleafy-rapport dat “het mechanisme voor het stelen van cookies is herzien en verbeterd”, met name een “uitgebreide lijst van Google-services”. Cleafy zei dat Gmail, GPay en Google Password Manager op deze lijst stonden.
Ransomware op een smartphone is nu een ding
De meest verontrustende nieuwe ontwikkeling is echter te vinden in SOVA versie 5. Hoewel deze versie nog in ontwikkeling is, is deze versie al begonnen te verschijnen in de handen van bedreigingsactoren, en Cleafy heeft “meerdere voorbeelden” gezien via zijn platform voor bedreigingsinformatie. Die ontwikkeling is de opname van een ransomware-module. Ja, je hoort het goed, ransomware op een smartphone.
Het wissen van bewijs van diefstal van crypto-wallets kan een factor zijn achter de SOVA-ransomwarefunctie
Het lijkt erop dat deze module de codering van bestanden mogelijk maakt met behulp van een AES-algoritme. Hoewel er veel gegevens worden opgeslagen in of geback-upt naar de cloud, kan dit nog steeds een strategisch verantwoorde zet blijken te zijn van de criminele kant van het hek. Ondanks, zou je kunnen veronderstellen, met de ultieme uitstel van het simpelweg terugzetten naar de fabrieksinstellingen van je telefoon, is het waarschijnlijk dat genoeg gebruikers, vooral aan de minder technisch onderlegde kant van de vergelijking, bereid zouden zijn om een betaalbaar losgeld te betalen om hun telefoon weer correct te laten werken . Je hoeft alleen maar te denken aan de paniek die ontstaat als je je telefoon kwijtraakt of kwijtraakt, of als hij kapot gaat, om te weten dat dit zal gebeuren.
Zoals Dark Reading meldt, kan de ransomware-module, aangezien SOVA zich bijvoorbeeld richt op crypto-wallets, ook worden gebruikt om effectief bewijsmateriaal te vernietigen, waardoor het “moeilijk wordt voor digitale forensische autoriteiten om sporen of toeschrijving van de aanvaller te ontdekken”.
Android-gebruikers moeten oppassen, iPhone-gebruikers kunnen ontspannen
Aan de positieve kant, althans voor iPhone-gebruikers, is dat SOVA een bedreiging voor alleen Android is. Als je een Android-gebruiker bent, geldt het gebruikelijke advies: wees voorzichtig met welke apps je installeert en let op de plaatsen waar je ze installeert. Hoewel kwaadaardige apps al eerder hun weg naar de Google Play Store en andere ‘officiële’ winkels hebben gevonden, ver weg, komen de meeste van dergelijke apps uit onofficiële opslagplaatsen van derden.
.
0 Comments