• 發布單位:TWCERT/CC
• 更新日期:2022-08-18
• 點閱次數:169

資安廠商 Cleafy 近日發表研究報告，指出該公司發現 SOVA Android 金融木馬惡意軟體，在最近推出的「新版本」第 5 版中，加上了針對 Android 手機的勒贖功能，除了原本的金融詐騙功能外，還加上將 Android 手機內部資料加密的勒贖功能，以進一步強化其攻擊能力。

據 Cleafy 指出，SOVA 在 2011 年 9 月首次出現時，該公司就將其列入觀察清單之列，發現該惡意軟體的開發十分有節奏且快速，且開發能量有愈來愈強大的趨勢。

SOVA 於 2022 年 3 月時推出第 3 版，加上了攔截二階段驗證碼、竊取 Cookie 等功能，同時擴大其詐騙覆疊的針對銀行數量，有更多銀行網頁或 App 會遭其使用畫面覆疊手法「蓋台」，用以竊取用戶輸入的登入資訊。

2022 年 7 月時 SOVA 的第 4 版已能透過覆疊，竊取 200 家銀行用戶的登入資訊，甚至加上 VNC 遠端遙控功能，也能擷取用戶手機畫面、複製貼上檔案、執行點按與滑動動作，甚至重構其 Cookie 竊取程式碼，能竊取 Gmail、GPay、Google Password Manager 的密碼；對抗防毒軟體掃瞄的能力也大幅提高。

最近出現的第 5 版，則加上了勒贖程式碼，能以 AES 演算法加密用戶手機內的檔案，加上 .enc 的副檔名。

雖然據 Cleafy 的報告指出，SOVA 第 5 版尚未傳出大量發動攻擊的案例，但對所有 Android 用戶來說，都是必須嚴防的資安威脅，因此 Android 用戶應避免在官方 Play Store 之外的地方下載軟體，更不要任意安裝 apk 檔案，以免遭到惡意軟體植入，蒙受重大損失。