Un malware baptisé SOVA menace les smartphones Android. De plus en plus sophistiqué, le virus cible plus de 200 applications, dont des apps bancaires ou d’échange de cryptomonnaies. Le maliciel est conçu pour voler l’argent des victimes et siphonner toutes leurs données personnelles. Il peut également se transformer en ransomware.
Les chercheurs en sécurité informatique de Cleafy mettent en garde les utilisateurs d’un smartphone Android. D’après les experts, une nouvelle mouture du malware SOVA circule actuellement sur la toile.
Cette quatrième itération vise « plus de 200 applications mobiles », dont des apps de banques, de plates-formes d’échange de cryptomonnaies (Binance, Coinbase, Crypto.com…) ou des portefeuilles numériques. Le but des pirates est de s’emparer des monnaies détenues sur ces applications.
Selon l’enquête de Cleafy, SOVA est apparu pour la première fois en septembre 2021. Le développeur derrière le malware a annoncé l’arrivée d’un nouveau virus sur le marché par le biais d’un « forum underground connu ». À cette époque, le développement de SOVA n’était pas encore terminé. Plusieurs versions du maliciel ont été mises en vente dans les mois suivant l’annonce.
Sur le même thème : Désinstallez vite ces 17 applications Android qui volent vos données bancaires et mots de passe
Un malware qui refuse de se laisser désinstaller
Le virus se propage par le biais d’applications factices. On trouve notamment SOVA dans de faux APK pour des apps Chrome, Amazon ou de plates-formes de vente et d’achat de tokens non fongibles (NFT).
Une fois qu’il s’est installé dans le smartphone des victimes, le logiciel malveillant va s’employer à obtenir les identifiants de certaines applications. Pour y parvenir, SOVA va superposer une fenêtre, reprenant le design de l’app, lors de l’ouverture de l’application. L’internaute va alors fournir son nom d’utilisateur et son mot de passe sans se douter de la supercherie.
Depuis la sortie de la quatrième version, SOVA est également capable de faire des captures d’écran à l’insu des utilisateurs. Cette nouvelle fonctionnalité, commune à de nombreux virus de type Cheval de Troie, permet là encore de voler discrètement les données personnelles des victimes.
Dans la foulée, le malware siphonne toutes les informations contenues sur le terminal ciblé, comme les cookies de connexion. Grâce à ces trackers, un pirate peut temporairement contourner la sécurité de certains sites. Ils permettent aussi de passer outre les mécanismes de détection de la fraude mis en place par certains services, comme PayPal notamment.
Pour éviter que la victime ne désinstalle les applications vérolées, les développeurs de SOVA ont mis en place des mesures de sécurité. Le virus est en effet capable de « bloquer un utilisateur qui essaie de désinstaller le malware des paramètres ou d’appuyer sur l’icône » sur l’écran d’accueil. Le maliciel affichera alors une fenêtre d’avertissement intitulée « cette application est sécurisée ».
Le malware devenu ransomware
Les chercheurs de Cleafy ont aussi repéré une cinquième version de SOVA sur la toile. Il s’agit de la dernière itération en date. Toujours en développement, elle s’est enrichie d’une fonctionnalité de ransomware.
Comme les autres rançons-logiciels, SOVA peut chiffrer tous les fichiers stockés sur le smartphone. Pour récupérer l’accès à ces fichiers, la victime sera encouragée à verser une rançon, généralement en cryptomonnaies. Il est rare qu’un Cheval de Troie embarque un module ransomware, note Cleafy. D’après les chercheurs, les pirates s’adaptent à l’évolution des usages.
En effet, « les téléphones mobiles sont devenus l’outil de stockage central des données personnelles et professionnelles pour la plupart des gens ». Pour éviter les mauvaises surprises, on vous recommande de rester prudent lorsque vous téléchargez des fichiers APK sur la toile.
Source :
Cleafy