Manuel Statik Analiz — SOVA Android Banking Trojan | Tehdit: KRITIK

Dosya Kimliği

SHA256b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut2.439.146 byte (2.4MB APK)
String Sayisi9.736

Accessibility Service Overlay

res/xml/accessibilityservice.xml  -- Erişilebilirlik Servisi konfigürasyonu
accessibilityservice               -- Android A11y Servisi bildirimi
Chrome                             -- Hedef tarayıcı

SOVA Hakkında

SOVA (Rus: "Baykuş"), 2021'de Rus siber suç forumlarında duyurulan Android banking trojan'ıdır. v5'te fidye yazılımı özelliği eklendi — bu Android dünyasında nadir görülen bir hibrit. 200+ banka uygulaması, kripto cüzdanlar ve e-ticaret platformlarını hedefler. Cookie hırsızlığı, keylogging ve overlay saldırısı birleştirilmiştir.

IOC

SHA256b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
HedefChrome, 200+ banka uygulaması
ÖzellikRAT + Banking Trojan + Ransomware hibrit (v5)

SOVAAndroid — Malware Profile

SOVA Android bankacılık trojanı. Chrome overlay, cookie steal, VNC, ransomware modulu. 200+ banka hedef.

Malware Type
Botnet
Programming Language
Java
C2 Protocol
HTTP/WebSocket
Target Systems
Android/Finans

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — SOVAAndroid
# SHA256 b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 b01b74aaf249d074243914b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Tags
sovaandroidaccessibility-overlaychrome-targetbanking-trojanrussian-maaS200-banks