Grupa-IB za istraživanje sa sjedištem u Singapuru opisuje čudovišni malver Godfather koji se koristi za ciljanje više od 400 fintech aplikacija, kripto berzi i novčanika u preko 16 zemalja.
U detalje izvještaj, Group-IB pokazuje da hakeri mogu ukrasti podatke za prijavu za online bankarstvo i drugo finansijske usluge koristeći zlonamjerni softver Godfather, omogućavajući im da isprazne račune žrtava. Finansijske institucije u Ujedinjenom Kraljevstvu su najteže pogođene među 400 žrtava, a napadi su se dogodili u posljednja tri mjeseca.
Po Grupi-IB, polovina meta bile su finansijske institucije. 17 se nalazilo u Velikoj Britaniji, 49 u SAD-u, 31 u Turskoj i 30 u Španiji. Preostale žrtve su u Kanadi, Francuskoj, Njemačkoj, Italiji i Poljskoj.
Godfather trojanac: kako radi
Android bankovni trojanac je obnovljeni nasljednik Anubisa, koji je također nanio veliku štetu ekosistemu 2019. Sličnosti između ova dva zlonamjerna softvera su njihovi načini dobivanja C2 adrese, izvršavanja C2 komandi i korištenja modula za ekran uhvatiti, proxy, i web lažiranje. Međutim, mogućnost snimanja zvuka, praćenja vaše lokacije i zaobilaženja 2-faktorske autentifikacije dostupna je samo na zlonamjernom softveru Godfather.
Malware Godfather skriven je u Android aplikacijama koje se nalaze na Play Store-u. Zlonamjerni kod korisnog učitavanja je prikriven da liči na Google Protect. Ova usluga skenira aplikacije u potrazi za mogućim opasnim ponašanjem. Nakon što ga korisnik pokrene, zlonamjerni softver imitira originalni Google program. Animacija prikazuje "Google zaštiti", ali je nema.
Nakon instaliranja vektorske aplikacije iz Play Store-a, zlonamjerni softver dozvole sebe u sistem žrtve. Uspostavlja kontakt sa svojim komandnim i kontrolnim serverom, šaljući sve podatke žrtve. Ciljevi mogu primijetiti ovaj razvoj tek kada izgube sredstva i kada im bude teško povući ili onemogućiti odobrenu aplikaciju.
Artem Grischenko, mlađi analitičar zlonamjernog softvera u Group-IB, rekao je da veze između Godfathera i Annubisa ukazuju na to da sajber kriminalci rastu u sofisticiranosti. Postoji potreba da programeri i menadžeri ažuriraju svoju infrastrukturu jer ko god stoji iza Kuma Trojanac još uvijek mogu učiniti više.
Zaključni dio istraživanja također pokazuje da na listi i rangu žrtava u potpunosti nedostaju zemlje koje su povezane sa raspadnutim Sovjetskim Savezom. A red koda u trojancu navodno prekida operacije nakon što primijeti ruski, moldavski, kirgiski, azerbejdžanski, kazahstanski, jermenski, tadžički ili uzbekistanski jezik. Istraživači insinuiraju mogućnost a sajber rat.
Izvor: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/