يستمر تطوير حصان طروادة SOVA Android Banking بشكل نشط مع إمكانات مطورة لاستهداف ما لا يقل عن 200 تطبيق للهاتف المحمول، بما في ذلك التطبيقات المصرفية وتبادل العملات المشفرة والمحافظ، بزيادة من 90 تطبيقًا عند بدء تشغيله.

هذا وفقًا لأحدث النتائج التي توصلت إليها شركة الأمن السيبراني الإيطالية Cleafy، والتي وجدت إصدارات أحدث من وظائف البرامج الضارة الرياضية لاعتراض رموز المصادقة الثنائية (2FA) ، وسرقة ملفات تعريف الارتباط، وتوسيع نطاق استهدافها ليشمل أستراليا والبرازيل والصين والهند والولايات المتحدة الأمريكية. الفلبين والمملكة المتحدة

ظهرت SOVA، التي تعني Owl باللغة الروسية، في سبتمبر 2021 عندما لوحظ أنها تضرب تطبيقات مالية وتطبيقات تسوق من الولايات المتحدة وإسبانيا لحصد بيانات الاعتماد من خلال هجمات التراكب من خلال الاستفادة من خدمات إمكانية الوصول في Android.

في أقل من عام، عمل حصان طروادة أيضًا كأساس لبرنامج ضار آخر يعمل بنظام Android يسمى MaliBot وهو مصمم لاستهداف عملاء المحفظة المصرفية عبر الإنترنت والعملات المشفرة في إسبانيا وإيطاليا.

يخفي أحدث إصدار من SOVA، الذي أطلق عليه Cleafy v4 ، نفسه داخل التطبيقات المزيفة التي تتميز بشعارات لتطبيقات شرعية مثل Amazon و Google Chrome لخداع المستخدمين لتثبيتها. تشمل التحسينات الأخرى الملحوظة التقاط لقطات الشاشة وتسجيل شاشات الجهاز.

"تتيح هذه الميزات، جنبًا إلى جنب مع خدمات إمكانية الوصول ، [الجهات الفاعلة في التهديد] تنفيذ الإيماءات ، وبالتالي ، الأنشطة الاحتيالية من الجهاز المصاب، كما رأينا بالفعل في برامج أحصنة طروادة المصرفية الأخرى لنظام Android (مثل Oscorp أو BRATA)،" باحثو Cleafy Francesco Iubatti وقال فيديريكو فالنتيني .

يُعرف SOVA v4 أيضًا بجهوده في جمع معلومات حساسة من Binance و Trust Wallet ، مثل أرصدة الحسابات والعبارات الأولية. علاوة على ذلك ، تمت إزالة جميع التطبيقات المصرفية البالغ عددها 13 في روسيا وأوكرانيا والتي استهدفتها البرامج الضارة من الإصدار.

ومما زاد الطين بلة ، أن التحديث يمكّن البرامج الضارة من الاستفادة من أذوناتها واسعة النطاق لتشتيت محاولات إلغاء التثبيت عن طريق إعادة توجيه الضحية إلى الشاشة الرئيسية وعرض رسالة توست "هذا التطبيق مؤمن".