Grupa badawcza z siedzibą w Singapurze opisuje złośliwe oprogramowanie ojca chrzestnego wykorzystywane do atakowania ponad 400 aplikacji fintech, giełd kryptograficznych i portfeli w ponad 16 krajach.
W szczegółach raport, Group-IB pokazuje, że hakerzy mogą kraść dane logowania do bankowości internetowej i innych usługi finansowe za pomocą szkodliwego oprogramowania Godfather, umożliwiającego opróżnianie kont ofiar. Instytucje finansowe w Wielkiej Brytanii są najbardziej dotknięte spośród 400 ofiar, a ataki miały miejsce w ciągu ostatnich trzech miesięcy.
Według Group-IB połowę celów stanowiły instytucje finansowe. 17 znajdowało się w Wielkiej Brytanii, 49 w USA, 31 w Turcji i 30 w Hiszpanii. Pozostałe ofiary znajdują się w Kanadzie, Francji, Niemczech, Włoszech i Polsce.
Trojan ojca chrzestnego: jak to działa
Trojan bankowy dla Androida to odnowiony następca Anubisa, który również wyrządził wiele szkód w ekosystemie w 2019 roku. Podobieństwa między tymi dwoma złośliwymi programami polegają na sposobach uzyskiwania adresu C2, wykonywaniu poleceń C2 oraz wykorzystywaniu modułów do ekranu schwytać, pełnomocniki fałszowanie stron internetowych. Jednak możliwość nagrywania dźwięku, śledzenia Twojej lokalizacji i obejścia uwierzytelniania dwuskładnikowego jest dostępna tylko w złośliwym oprogramowaniu Ojciec chrzestny.
Złośliwe oprogramowanie Godfather jest ukryte w aplikacjach na Androida dostępnych w Sklepie Play. Złośliwy kod ładunku jest zamaskowany tak, aby przypominał Google Protect. Ta usługa skanuje aplikacje pod kątem potencjalnie niebezpiecznych zachowań. Po uruchomieniu przez użytkownika złośliwe oprogramowanie imituje oryginalny program Google. Animacja pokazuje „Google protect”, ale jej nie ma.
Po zainstalowaniu aplikacji wektorowej ze Sklepu Play złośliwe oprogramowanie uprawnienia się do systemu ofiary. Nawiązuje kontakt ze swoim serwerem dowodzenia i kontroli, wysyłając wszystkie dane ofiary. Cele mogą zauważyć te zmiany dopiero po utracie środków i trudnościach z wycofaniem lub wyłączeniem dozwolonej aplikacji.
Artem Grischenko, młodszy analityk złośliwego oprogramowania w Group-IB, powiedział, że powiązania między ojcem chrzestnym i Annubis wskazują, że cyberprzestępcy stają się coraz bardziej wyrafinowani. Istnieje potrzeba, aby programiści i menedżerowie zaktualizowali swoją infrastrukturę, ponieważ kto stoi za Ojcem Chrzestnym trojański wciąż może zrobić więcej.
Końcowa część badań pokazuje również, że na liście iw rankingu ofiar w ogóle nie ma krajów powiązanych z nieistniejącym już Związkiem Radzieckim. A wiersz kodu w trojanie podobno zamyka operacje po zauważeniu języków rosyjskiego, mołdawskiego, kirgiskiego, azerbejdżańskiego, kazachskiego, ormiańskiego, tadżyckiego lub uzbeckiego. Naukowcy insynuują możliwość A cyber wojny.
Źródło: https://crypto.news/android-trojan-targets-over-400-apps-w tym-crypto-and-fintech/