Een stukje malware genaamd "Godfather" richt zich op gebruikers van crypto-apps en andere diensten, volgens een verklaring van de Duitse toezichthouder BaFin op januari 9.
BaFin zei dat Godfather ongeveer 400 cryptocurrency- en bank-apps beïnvloedt. De malware richt zich meer specifiek op 110 crypto-uitwisselingen, 94 crypto-wallets en 215 bank-apps, volgens een afzonderlijk rapport van Groep IB in december.
Godfather steelt inloggegevens van gebruikers door valse inlogvensters weer te geven bovenop echte, waardoor gebruikers worden misleid om hun gegevens in een gecontroleerd formulier in te voeren.
Godfather werkt alleen op Android-apparaten. Het bootst Google Protect na om zichzelf te vestigen. Vervolgens scant het ten onrechte Play Store-downloads op malware en verbergt het zichzelf in de lijst met geïnstalleerde applicaties. Door Google Protect te imiteren, kan Godfather ook gebruikmaken van AccessibilityService om verder apparaattoegang te krijgen en gegevens door te geven aan aanvallers.
Godfather probeert specifiek applicaties te imiteren die op het apparaat van een gebruiker zijn geïnstalleerd. Het kan echter ook het scherm opnemen, keyloggers starten, oproepen doorsturen met 2FA-codes, sms-berichten verzenden en verschillende andere strategieën gebruiken.
Hoewel Duitsland vandaag waarschuwde voor Godfather-aanvallen, zijn aanvallen niet geïsoleerd in dat land. IB Group zei in zijn rapport dat Godfather zich heeft gericht op gebruikers in 16 landen, waaronder de VS, Turkije, Spanje, Canada, Frankrijk en het VK. Apparaten die zijn ingesteld om bepaalde talen te gebruiken, waaronder Russisch, kunnen de malware overigens niet uitvoeren.
Groep IB suggereerde dat Godfather gedeeltelijk werd verspreid via een kwaadaardige Google Play-applicatie. De beveiligingsonderzoeksgroep zei echter dat er een algemeen "gebrek aan duidelijkheid" is over hoe dit specifieke stuk malware apparaten infecteert.
Phishing-malware komt vrij vaak voor. Een soortgelijk stuk malware genaamd Mars steler verscheen in 2022, en een andere genaamd Wasbeer werd gezien in 2021.
Phishing kan echter worden uitgevoerd zonder de apparaten van gebruikers te infecteren. Dergelijke aanvallen kunnen uitsluitend worden uitgevoerd door nep-e-mails en websites te maken die lijken op hun echte tegenhangers, en vertrouwen eerder op menselijke fouten dan op gecompromitteerde apparaten.
Bron: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/