Ένα κομμάτι κακόβουλου λογισμικού που ονομάζεται «Godfather» στοχεύει χρήστες εφαρμογών κρυπτογράφησης και άλλων υπηρεσιών, σύμφωνα με δήλωση της γερμανικής ρυθμιστικής αρχής BaFin για Ιανουάριος 9.
Η BaFin είπε ότι το Godfather επηρεάζει περίπου 400 εφαρμογές κρυπτονομισμάτων και τραπεζών. Το κακόβουλο λογισμικό στοχεύει πιο συγκεκριμένα 110 ανταλλακτήρια κρυπτογράφησης, 94 πορτοφόλια κρυπτογράφησης και 215 τραπεζικές εφαρμογές, σύμφωνα με μια ξεχωριστή αναφορά από Ομάδα ΙΒ τον Δεκεμβριο.
Ο Νονός κλέβει δεδομένα σύνδεσης από χρήστες εμφανίζοντας πλαστά παράθυρα σύνδεσης πάνω από αληθινά, εξαπατώντας έτσι τους χρήστες να εισάγουν τα δεδομένα τους σε μια παρακολουθούμενη φόρμα.
Το Godfather λειτουργεί μόνο σε συσκευές Android. Μιμείται το Google Protect για να καθιερωθεί. Στη συνέχεια σαρώνει ψευδώς τις λήψεις του Play Store για κακόβουλο λογισμικό και κρύβεται από τη λίστα των εγκατεστημένων εφαρμογών. Μιμούμενος το Google Protect, ο Godfather μπορεί επίσης να αξιοποιήσει την AccessibilityService για να αποκτήσει περαιτέρω πρόσβαση στη συσκευή και να μεταδώσει δεδομένα σε εισβολείς.
Το Godfather επιχειρεί συγκεκριμένα να μιμηθεί εφαρμογές που είναι εγκατεστημένες στη συσκευή ενός χρήστη. Ωστόσο, μπορεί επίσης να εγγράψει την οθόνη, να εκκινήσει keyloggers, να προωθήσει κλήσεις που περιέχουν κωδικούς 2FA, να στείλει μηνύματα SMS και να χρησιμοποιήσει διάφορες άλλες στρατηγικές.
Αν και η Γερμανία προειδοποίησε για τις επιθέσεις του Νονού σήμερα, οι επιθέσεις δεν είναι μεμονωμένες σε αυτήν τη χώρα. Το IB Group ανέφερε στην έκθεσή του ότι το Godfather έχει στοχεύσει χρήστες σε 16 χώρες, συμπεριλαμβανομένων των ΗΠΑ, της Τουρκίας, της Ισπανίας, του Καναδά, της Γαλλίας και του Ηνωμένου Βασιλείου Παρεμπιπτόντως, οι συσκευές που χρησιμοποιούν συγκεκριμένες γλώσσες, συμπεριλαμβανομένων των ρωσικών, δεν μπορούν να εκτελούν το κακόβουλο λογισμικό.
Το Group IB πρότεινε ότι το Godfather διαδόθηκε εν μέρει μέσω μιας κακόβουλης εφαρμογής Google Play. Ωστόσο, η ερευνητική ομάδα ασφαλείας είπε ότι υπάρχει μια γενική «έλλειψη σαφήνειας» σχετικά με το πώς αυτό το συγκεκριμένο κομμάτι κακόβουλου λογισμικού μολύνει τις συσκευές.
Το κακόβουλο λογισμικό ηλεκτρονικού ψαρέματος είναι αρκετά κοινό. Ένα παρόμοιο κομμάτι κακόβουλου λογισμικού ονομάζεται Άρης Κλέφτης εμφανίστηκε το 2022 και κάλεσε άλλο Ρακούν εμφανίστηκε το 2021.
Ωστόσο, το ηλεκτρονικό ψάρεμα μπορεί να επιτευχθεί χωρίς να μολύνονται οι συσκευές των χρηστών. Τέτοιες επιθέσεις μπορούν να πραγματοποιηθούν αποκλειστικά με τη δημιουργία πλαστών email και ιστότοπων που μοιάζουν με τους πραγματικούς ομολόγους τους — βασιζόμενοι σε ανθρώπινο λάθος και όχι σε παραβιασμένες συσκευές.
Πηγή: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/