Το ερευνητικό Group-IB που εδρεύει στη Σιγκαπούρη περιγράφει το κακόβουλο λογισμικό τέρας Godfather που χρησιμοποιείται για να στοχεύσει περισσότερες από 400 εφαρμογές fintech, ανταλλαγές κρυπτογράφησης και πορτοφόλια σε περισσότερες από 16 χώρες.
Σε μια λεπτομερή αναφέρουν, το Group-IB αποδεικνύει ότι οι χάκερ μπορούν να κλέψουν πληροφορίες σύνδεσης για διαδικτυακές τραπεζικές συναλλαγές και άλλα των χρηματοπιστωτικών υπηρεσιών χρησιμοποιώντας το κακόβουλο λογισμικό Godfather, δίνοντάς τους τη δυνατότητα να αδειάζουν τους λογαριασμούς των θυμάτων. Τα χρηματοπιστωτικά ιδρύματα στο Ηνωμένο Βασίλειο έχουν πληγεί περισσότερο από τα 400 θύματα, με επιθέσεις να σημειώνονται τους τελευταίους τρεις μήνες.
Ανά Group-IB, οι μισοί στόχοι ήταν χρηματοπιστωτικά ιδρύματα. 17 βρίσκονταν στο Ηνωμένο Βασίλειο, 49 στις ΗΠΑ, 31 στην Τουρκία και 30 στην Ισπανία. Τα υπόλοιπα θύματα βρίσκονται στον Καναδά, τη Γαλλία, τη Γερμανία, την Ιταλία και την Πολωνία.
Godfather trojan: πώς λειτουργεί
Το Android banking Trojan είναι ένας ανανεωμένος διάδοχος του Anubis, το οποίο προκάλεσε επίσης μεγάλη ζημιά στο οικοσύστημα το 2019. Οι ομοιότητες μεταξύ αυτών των δύο κακόβουλων προγραμμάτων είναι οι μέθοδοι απόκτησης της διεύθυνσης C2, η εκτέλεση εντολών C2 και η χρήση των μονάδων για οθόνη πιάνω, πληρεξούσιο, και πλαστογράφηση ιστού. Ωστόσο, η δυνατότητα εγγραφής ήχου, παρακολούθησης της τοποθεσίας σας και παράκαμψης ελέγχου ταυτότητας 2 παραγόντων είναι διαθέσιμη μόνο στο κακόβουλο λογισμικό Godfather.
Το κακόβουλο λογισμικό Godfather είναι κρυμμένο σε εφαρμογές Android που εμφανίζονται στο Play Store. Ο κακόβουλος κώδικας του ωφέλιμου φορτίου είναι μεταμφιεσμένος ώστε να μοιάζει με το Google Protect. Αυτή η υπηρεσία σαρώνει εφαρμογές για πιθανές επικίνδυνες συμπεριφορές. Μετά την εκκίνηση από έναν χρήστη, το κακόβουλο λογισμικό μιμείται ένα γνήσιο πρόγραμμα της Google. Ένα κινούμενο σχέδιο εμφανίζει την ένδειξη "Google protect", αλλά δεν υπάρχει.
Κατά την εγκατάσταση της διανυσματικής εφαρμογής από το Play Store, το κακόβουλο λογισμικό δικαιώματα στο σύστημα του θύματος. Αποκαθιστά την επαφή με τον διακομιστή εντολών και ελέγχου του, στέλνοντας όλα τα δεδομένα του θύματος. Οι στόχοι ενδέχεται να παρατηρήσουν αυτές τις εξελίξεις μόνο όταν χάσουν χρήματα και δυσκολεύονται να αποσύρουν ή να απενεργοποιήσουν την επιτρεπόμενη εφαρμογή.
Ο Artem Grischenko, ο νεότερος αναλυτής κακόβουλου λογισμικού στο Group-IB, είπε ότι οι δεσμοί μεταξύ του Godfather και του Annubis δείχνουν ότι οι εγκληματίες του κυβερνοχώρου αυξάνονται σε πολυπλοκότητα. Υπάρχει ανάγκη για προγραμματιστές και διαχειριστές να ενημερώσουν την υποδομή τους γιατί όποιος βρίσκεται πίσω από τον Νονό trojan μπορεί ακόμα να κάνει περισσότερα.
Το καταληκτικό μέρος της έρευνας δείχνει επίσης ότι οι χώρες που έχουν δεσμούς με τη σβηστή Σοβιετική Ένωση λείπουν εντελώς από τη λίστα και την κατάταξη των θυμάτων. ΕΝΑ γραμμή κώδικα στο trojan φέρεται να τερματίζει τις λειτουργίες μόλις παρατηρήσει ρωσικά, μολδαβικά, κιργιζικά, αζερικάνικα, καζακικά, αρμενικά, τατζίκικα ή ουζμπεκικά. Οι ερευνητές υπαινίσσονται την πιθανότητα α cyber πόλεμο.
Πηγή: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/