Banking-Malware für Android infiziert Smartphones auch mit Ransomware

Stefan Beiersmann,
Linkedin
Mobile Malware (Bild: Shutterstock)

Die Schadsoftware Sova erhält mit einem Update eine Funktion zur Verschlüsselung von Dateien. Sova ahmt zudem mehr als 200 Banking- und Finanzapps nach.

Der Cybersicherheitsanbieter Cleafy hat eine neue Variante der Android-Malware Sova analysiert. Das Update erlaubt es der Schadsoftware, mehr als 200 Banking- und Bezahl-Apps nachzuahmen. Außerdem nimmt Sova nun Krypto-Geldbörsen ins Visier. Noch in der Entwicklung befindet sich offenbar eine Funktion, die es Sova erlaubt, Dateien zu verschlüsseln und somit als Ransomware zu agieren.

Erstmals entdeckt wurde Sova im September 2021. Nach Angaben ihres Anbieters befand sich die Malware zu dem Zeitpunkt noch in der Entwicklung. Trotzdem verfügte sie bereits über wichtige Funktionen einer Banking-Malware: Keylogging, Cookies stehlen und gefälschte Overlays für Finanz-Apps anzeigen.

Das Update erlaubt es Trojan nun nicht nur Finanzdaten, Kennwörter und andere persönliche Informationen zu stehlen, sondern auch Lösegelder für zuvor unbrauchbar gemachte Dateien zu verlangen. “Die Ransomware-Funktion ist recht interessant, da sie in der Landschaft der Android-Bankentrojaner noch nicht sehr verbreitet ist. Sie nutzt die Möglichkeiten, die sich in den letzten Jahren ergeben haben, da mobile Geräte für die meisten Menschen zum zentralen Ablageort für persönliche und geschäftliche Daten wurden”, schreiben die Forscher von Cleafy in einem Blogbeitrag.

Sova wird über gefälschte Apps verbreitet

Die neue Variante ist allerdings nicht das erste Update, das Sova seit September 2021 erhalten hat. Zwischenzeitlich ergänzten die Hintermänner eine Option, Tokens für eine Anmeldung in mehreren Schritten abzufangen. Das erlaubt es den Cyberkriminellen, Online-Konten zu kompromittieren, die nicht nur durch ein Passwort gesichert sind.

Die Verteilung von Sova erfolgt laut Cleafy über gefälschte Apps, die angeblich von namhaften Herausgebern wie Google und Amazon stammen sollen. Sie bieten oftmals keine legitimen Funktionen. Ihre einzige Aufgabe ist die Installation von Schadsoftware.

Nutzer sollten vor allem Apps aus nicht vertrauenswürdigen Quellen meiden, um einer Infektion mit Sova oder ähnlichen Schadprogrammen zu entgehen. Allerdings gelingt es Cyberkriminellen immer wieder, Malware auch in offizielle Marktplätze wie Google Play einzuschleusen. Hier kann ein Blick auf aktuelle Bewertungen hilfreich sein, um eine schädliche App zu erkennen.