Złośliwe oprogramowanie o nazwie „Ojciec chrzestny” jest skierowane do użytkowników aplikacji kryptograficznych i innych usług, zgodnie z oświadczeniem niemieckiego regulatora BaFin na Styczeń 9.
BaFin powiedział, że Ojciec chrzestny wpływa na około 400 kryptowalut i aplikacji bankowych. Złośliwe oprogramowanie dokładniej atakuje 110 giełd kryptograficznych, 94 portfele kryptograficzne i 215 aplikacji bankowych, wynika z oddzielnego raportu Grupa I.B w grudniu.
Ojciec chrzestny kradnie dane logowania użytkowników, wyświetlając fałszywe okna logowania na prawdziwych, oszukując w ten sposób użytkowników, aby wprowadzili swoje dane do monitorowanego formularza.
Godfather działa tylko na urządzeniach z Androidem. Naśladuje Google Protect, aby się ustanowić. Następnie fałszywie skanuje pliki do pobrania ze Sklepu Play w poszukiwaniu złośliwego oprogramowania i ukrywa się na liście zainstalowanych aplikacji. Naśladując Google Protect, Ojciec chrzestny może również wykorzystać usługę ułatwień dostępu do dalszego uzyskiwania dostępu do urządzeń i przekazywania danych atakującym.
Ojciec chrzestny w szczególności próbuje naśladować aplikacje zainstalowane na urządzeniu użytkownika. Może jednak również nagrywać ekran, uruchamiać keyloggery, przekazywać połączenia zawierające kody 2FA, wysyłać wiadomości SMS i wykorzystywać różne inne strategie.
Chociaż Niemcy ostrzegały dzisiaj przed atakami Ojca Chrzestnego, ataki nie są odosobnione w tym kraju. IB Group podała w swoim raporcie, że Ojciec chrzestny zaatakował użytkowników w 16 krajach, w tym w USA, Turcji, Hiszpanii, Kanadzie, Francji i Wielkiej Brytanii.
Grupa IB zasugerowała, że Ojciec chrzestny rozprzestrzeniał się częściowo za pośrednictwem złośliwej aplikacji Google Play. Jednak grupa zajmująca się badaniami nad bezpieczeństwem stwierdziła, że istnieje ogólny „brak jasności” co do tego, w jaki sposób ten konkretny złośliwy program infekuje urządzenia.
Szkodliwe oprogramowanie wyłudzające informacje jest dość powszechne. Jedno podobne złośliwe oprogramowanie o nazwie Mars Stealer pojawił się w 2022 roku, a kolejny tzw Szop widziano w 2021 r.
Jednak phishing można przeprowadzić bez infekowania urządzeń użytkowników. Ataki takie można przeprowadzić wyłącznie poprzez tworzenie fałszywych wiadomości e-mail i stron internetowych, które przypominają ich prawdziwe odpowiedniki — opierając się raczej na ludzkim błędzie niż na zagrożonych urządzeniach.
Źródło: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/