Сінгапурська дослідницька група Group-IB описує зловмисне програмне забезпечення Godfather monster, яке використовується для націлювання на понад 400 фінтех-додатків, криптобірж і гаманців у понад 16 країнах.
Докладно звітом, Group-IB демонструє, що хакери можуть викрасти дані для входу в онлайн-банкінг та інше фінансові послуги використання зловмисного програмного забезпечення Godfather, що дозволяє їм очищати облікові записи жертв. Серед 400 постраждалих найбільше постраждали фінансові установи Сполученого Королівства, а атаки сталися протягом останніх трьох місяців.
За Group-IB половина цілей були фінансовими установами. 17 були розташовані у Великій Британії, 49 у США, 31 у Туреччині та 30 в Іспанії. Решта постраждалих у Канаді, Франції, Німеччині, Італії та Польщі.
Trojan Godfather: як це працює
Банківський троян Android є оновленим наступником Anubis, який також завдав значної шкоди екосистемі в 2019 році. Подібність між цими двома шкідливими програмами полягає в їхніх методах отримання адреси C2, виконання команд C2 і використання модулів для екрану. захоплення, повноваженняі веб-спуфінг. Однак можливість записувати аудіо, відстежувати ваше місцезнаходження та обходити 2-факторну автентифікацію доступна лише для шкідливого програмного забезпечення Godfather.
Зловмисне програмне забезпечення Godfather приховано в додатках Android, розміщених у Play Store. Шкідливий код корисного навантаження замасковано, щоб нагадувати Google Protect. Ця служба сканує додатки на наявність можливої небезпечної поведінки. Після запуску користувачем зловмисне програмне забезпечення імітує справжню програму Google. Анімація показує «Google захист», але її немає.
Після встановлення векторної програми з Play Store зловмисне програмне забезпечення Дозволи себе в систему жертви. Він встановлює зв'язок зі своїм сервером команд і управління, надсилаючи всі дані жертви. Цілі можуть помітити ці події лише тоді, коли вони втратять кошти, і їм буде важко вивести або вимкнути дозволену програму.
Артем Грищенко, молодший аналітик зловмисного програмного забезпечення Group-IB, сказав, що зв’язки між Godfather і Annubis свідчать про те, що кіберзлочинці стають все більш витонченими. Існує потреба в тому, щоб розробники та менеджери оновлювали свою інфраструктуру, тому що хто б не стояв за Хрещеним батьком троянець все ще може зробити більше.
Підсумкова частина дослідження також показує, що країни, які були пов’язані з неіснуючим Радянським Союзом, зовсім відсутні у списку та ранзі жертв. А рядок коду у трояні, як повідомляється, припиняється робота, коли він помічає російську, молдавську, киргизьку, азербайджанську, казахську, вірменську, таджицьку або узбецьку мови. Дослідники припускають можливість а кібервійна.
Джерело: https://crypto.news/android-trojan-targets-over-400-apps-idding-crypto-and-fintech/