Manuel Statik Analiz — SOVA Android Banking Trojan | Tehdit: KRITIK

Dosya Kimliği

SHA256b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut2.439.146 byte (2.4MB APK)
String Sayisi9.736

Accessibility Service Overlay

res/xml/accessibilityservice.xml  -- Erişilebilirlik Servisi konfigürasyonu
accessibilityservice               -- Android A11y Servisi bildirimi
Chrome                             -- Hedef tarayıcı

SOVA Hakkında

SOVA (Rus: "Baykuş"), 2021'de Rus siber suç forumlarında duyurulan Android banking trojan'ıdır. v5'te fidye yazılımı özelliği eklendi — bu Android dünyasında nadir görülen bir hibrit. 200+ banka uygulaması, kripto cüzdanlar ve e-ticaret platformlarını hedefler. Cookie hırsızlığı, keylogging ve overlay saldırısı birleştirilmiştir.

IOC

SHA256b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
HedefChrome, 200+ banka uygulaması
ÖzellikRAT + Banking Trojan + Ransomware hibrit (v5)

SOVAAndroid — Malware Profili

SOVA Android bankacılık trojanı. Chrome overlay, cookie steal, VNC, ransomware modulu. 200+ banka hedef.

Malware Tipi
Botnet
Programlama Dili
Java
C2 Protokolü
HTTP/WebSocket
Hedef Sistemler
Android/Finans

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (1 gösterge)

IOC — SOVAAndroid
# SHA256 b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TürDeğerNot
sha256 b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Etiketler
sovaandroidaccessibility-overlaychrome-targetbanking-trojanrussian-maaS200-banks