Відповідно до заяви німецького регулятора BaFin, зловмисне програмне забезпечення під назвою «Хрещений батько» націлене на користувачів криптододатків та інших сервісів. Січень 9.
BaFin сказав, що Godfather впливає на близько 400 криптовалютних і банківських програм. Відповідно до окремого звіту зловмисне програмне забезпечення спрямоване на 110 криптобірж, 94 криптогаманці та 215 банківських додатків. ІБ група у грудні.
Godfather викрадає дані для входу в користувачів, відображаючи підроблені вікна входу поверх справжніх, таким чином обманюючи користувачів, щоб вони ввели свої дані в контрольовану форму.
Godfather працює тільки на пристроях Android. Він імітує Google Protect, щоб утвердитися. Потім він помилково сканує завантаження Play Store на наявність шкідливих програм і ховається в списку встановлених програм. Імітуючи Google Protect, Godfather також може використовувати AccessibilityService для подальшого отримання доступу до пристрою та передачі даних зловмисникам.
Godfather спеціально намагається імітувати програми, встановлені на пристрої користувача. Однак він також може записувати екран, запускати кейлоггери, переадресовувати дзвінки, що містять коди 2FA, надсилати SMS-повідомлення та використовувати різні інші стратегії.
Хоча Німеччина сьогодні попередила про атаки Хрещеного батька, атаки не поодинокі для цієї країни. У своєму звіті IB Group повідомляє, що Godfather націлений на користувачів у 16 країнах, включаючи США, Туреччину, Іспанію, Канаду, Францію та Великобританію. До речі, на пристроях, налаштованих на використання певних мов, включаючи російську, не можна запускати шкідливе програмне забезпечення.
Group IB припустила, що Godfather поширювався частково через шкідливу програму Google Play. Однак дослідницька група з безпеки заявила, що існує загальна «недостатня ясність» щодо того, як ця конкретна частина шкідливого ПЗ заражає пристрої.
Фішингове шкідливе програмне забезпечення досить поширене. Одне подібне зловмисне програмне забезпечення називається Викрадач Марса виникла у 2022 році, а інша – під назвою Єнот був помічений у 2021 році.
Однак фішинг можна здійснити без зараження пристроїв користувачів. Такі атаки можна здійснити виключно шляхом створення підроблених електронних листів і веб-сайтів, які нагадують їхні справжні аналоги, покладаючись на людську помилку, а не на зламані пристрої.
Джерело: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/