Godfather malware
A Group-IB kutatói szerint a csalók a Godfather nevű Android banki trójai segítségével banki és kriptovaluta alkalmazások felhasználóitól lopnak adatokat. A biztonsági cég először 2021 júniusában észlelte a Godfathert. Októberig a hitelesítő adatokat ellopó kártevő több mint 400 alkalmazás felhasználóit használta ki. Így a támadássorozat 215 nemzetközi bankot, 94 kriptovaluta walletet és 110 kriptovaluta csereplatformot érintett az Egyesült Államokban, Törökországban, Spanyolországban, Kanadában, Németországban, Franciaországban és az Egyesült Királyságban. A Group-IB által elemzett Telegram csatornák szerint a Godfathert a Malware-as-a-Service modellen keresztül terjesztik.
A rosszindulatú program kódja egy érdekes funkcióval is rendelkezik, amely megakadályozza, hogy megtámadja az oroszul beszélő felhasználókat vagy azokat, akik a volt Szovjetunióban használt néhány más nyelven beszélnek, beleértve az azeri, örmény, fehérorosz, kazah, kirgiz, moldovai, üzbég vagy tadzsik nyelvet.
A Godfather fejlesztői az Anubis banki trójai forráskódot használhatták alapul, és korszerűsítették az Android újabb verzióihoz. A kártevő terjesztéséhez a valós alkalmazások könnyen hozzáférhető, a keresések során előkelő helyen hirdetett, hamis alkalmazások útján terjesztik.
A Godfather képes az alkalmazásokba bevitt adatokat, felhasználóneveket, jelszavakat továbbítani az üzemeltetőinek, sőt az SMS-eket és a push értesítéseket is, hogy megkerülje a kéttényezős hitelesítést.
Az Group-IB kutatói részletes elemzést tettek közzé, ami tartalmazza a felhasználói szintű és a szervezeti szintű védekezési lehetőségeket is.