Het in Singapore gevestigde onderzoeksgroep-IB beschrijft de Godfather-monster-malware die wordt gebruikt om zich te richten op meer dan 400 fintech-applicaties, crypto-uitwisselingen en portefeuilles in meer dan 16 landen.
In een gedetailleerde verslag, laat Group-IB zien dat hackers inloggegevens voor onder meer internetbankieren kunnen stelen financiële diensten met behulp van de Godfather-malware, waardoor ze de rekeningen van slachtoffers kunnen legen. Van de 400 slachtoffers zijn de financiële instellingen in het Verenigd Koninkrijk het zwaarst getroffen, met aanvallen in de afgelopen drie maanden.
Per Groep-IB waren de helft van de doelwitten financiële instellingen. 17 waren gevestigd in het VK, 49 in de VS, 31 in Turkije en 30 in Spanje. De overige slachtoffers bevinden zich in Canada, Frankrijk, Duitsland, Italië en Polen.
Godfather-trojan: hoe het werkt
De Android banking Trojan is een vernieuwde opvolger van Anubis, die ook in 2019 veel schade aanrichtte aan het ecosysteem. De overeenkomsten tussen deze twee malware zijn hun methoden om het C2-adres te verkrijgen, C2-commando's uit te voeren en de modules voor schermgebruik te gebruiken. vastleggen, volmachten webspoofing. De mogelijkheid om audio op te nemen, uw locatie te volgen en tweefactorauthenticatie te omzeilen, is echter alleen beschikbaar op de Godfather-malware.
De Godfather-malware is verborgen in Android-applicaties in de Play Store. De kwaadaardige code van de payload is vermomd om op Google Protect te lijken. Deze service scant apps op mogelijk gevaarlijk gedrag. Na te zijn gestart door een gebruiker, imiteert de malware een echt Google-programma. Een animatie toont "Google beschermen", maar er is geen.
Na het installeren van de vector-app uit de Play Store, de malware permissies zichzelf in het systeem van het slachtoffer. Het maakt contact met zijn commando- en controleserver en verzendt alle gegevens van het slachtoffer. De doelwitten merken deze ontwikkelingen mogelijk pas op als ze geld verliezen en het moeilijk vinden om de toegestane applicatie in te trekken of uit te schakelen.
Artem Grischenko, de junior malware-analist bij Group-IB, zei dat de banden tussen Godfather en Annubis aangeven dat cybercriminelen steeds geavanceerder worden. Er is behoefte aan ontwikkelaars en managers om hun infrastructuur bij te werken, want wie er ook achter de Godfather zit Trojaans kan nog meer.
Het afsluitende deel van het onderzoek laat ook zien dat landen die banden hebben met de ter ziele gegane Sovjet-Unie volledig ontbreken op de lijst en ranglijst van slachtoffers. EEN regel code in de trojan stopt naar verluidt operaties zodra het Russisch, Moldavisch, Kirgizisch, Azerbeidzjaans, Kazachs, Armeens, Tadzjieks of Oezbeeks opmerkt. De onderzoekers insinueren de mogelijkheid van een cyberoorlog.
Bron: https://crypto.news/android-trojan-targets-over-400-apps-inclusief-crypto-and-fintech/