據infosecurity消息，肆虐Android平臺的銀行木馬 SOVA 卷土重來，和之前相比增加了更多的新功能，甚至還有可能進行勒索攻擊。8月11日，安全公司 Cleafy 對SOVA木馬進行細致調查，并以報告的形式分享了調查結果。

報告指出，2021年9月，SOVA首次被安全人員發現，當時其開發人員在暗網上發布了未來更新的路線圖，并聲稱正在進入市場。在接下來的幾個月里，Cleafy 公司還發現了SOVA的各種迭代版本，實現了更新路線圖中提到的某些功能。其中包括雙因素身份驗證 (2FA) 攔截、cookie 竊取和針對新目標和國家（例如多家菲律賓銀行）的注入。

根據報告，SOVA將分布式拒絕服務（DDoS）、中間人（MiTM）和 RANSOMSORT 功能整合到其武器庫中——在現有的銀行覆蓋、通知操作和鍵盤記錄服務之上。SOVA還可以模仿的目標包括需要信用卡訪問才能操作的銀行應用程序、加密貨幣錢包和購物應用程序。

2022年7月，Cleafy公司發現了SOVA (V4)版本，并在其最新的公告中進行詳細說明，針對的目標應用APP也從2021年的90個增加至200個，包括銀行應用程序和加密貨幣交易所/錢包。

Cleafy 公司在報告中表示，“SOVA最有趣的部分與虛擬網絡計算功能有關，自 2021 年 9 月以來，此功能一直在 SOVA 路線圖中，這是攻擊者不斷更新惡意軟件新功能的一個有力證據。”

此外，SOVA的最新版本還可以從受感染的設備中獲取屏幕截圖、記錄和執行手勢以及管理多個命令。在 SOVA V4版本，cookie 竊取機制被進一步重構和改進，以指定目標 Google 服務的綜合列表以及其他應用程序列表。而更新后的惡意軟件可以通過攔截那些卸載應用程序的操作來保護自己。

值得注意的是，Cleafy聲稱發現了 SOVA 的新版本（V5），對于代碼進行了重構，添加了一些新功能，與命令/控制 (C2) 服務器之間通信的一些小變化。雖然SOVA V5 缺少 VNC 模塊，但它具有勒索軟件功能，這在移動端中較為罕見。