Un reciente artículo publicado por los investigadores de ThreatFabric demuestra la existencia de un nuevo tipo de malware bancario, específico de Android, que sus creadores denominaron S.O.V.A.

Su objetivo son aplicaciones bancarias, carteras de criptomonedas y aplicaciones de compras. Los usuarios a los que va dirigido originalmente son usuarios de entidades de Estados Unidos y España. Los investigadores sospechan que S.O.V.A. se refiere a la palabra rusa, que significa Buhó.

El virus fue detectado por primera vez a principios de agosto y se conoce que entre sus capacidades está robar información personal y credenciales bancarias. Se cree que el malware está en sus primeras etapas de desarrollo en la actualidad. Sin embargo, se ha promocionado en foros de hacking con anuncios que buscan usuarios para realizar pruebas del malware.

Cómo funciona el virus bancario

El malware viene equipado con diferentes funciones: ataques de superposición ("Clickjacking"), registro de pulsaciones ("keylogging"), manipulación de notificaciones (permitiendo ocultarlas) y la manipulación del portapapeles para insertar direcciones modificadas de carteras de criptomonedas.

Pero, además, destaca por una característica que no es tan común en un troyano Android: el robo de cookies de sesión. Esta funcionalidad permite a los delincuentes tener acceso a las sesiones válidas de los usuarios sin necesidad de conocer las credenciales bancarias.

El autor anuncia públicamente la posibilidad de probar este nuevo producto dirigido a un gran número de bancos con el fin de mejorar las funcionalidades del bot, y probarlo en una gran variedad de dispositivos móviles.

Se planea para el malware asignarle funciones de denegación de servicios distribuidos ("DDoS"), ataque de intermediario ("MitM-Man in the Middle") y Ransomware.

Se estima que el software se encuentra en su fase primitiva, pero S.O.V.A. se está promocionando mucho en los foros de hacking. Los desarrolladores de este malware tienen, sin duda, grandes expectativas; ya que el malware se ha ofrecido a terceros para que lo prueben