Ένα κακόβουλο Android λογισμικό mobile banking με το όνομα “Godfather”, στοχεύει και κλέβει τα διαπιστευτήρια τραπεζικών συναλλαγών και ανταλλαγής κρυπτονομισμάτων χρηστών Android σε 16 χώρες, αναφέρει η Bleeping Computer
Το κακόβουλο λογισμικό, το οποίο στόχευε επίσης 400 διεθνείς χρηματοοικονομικές εταιρείες, λειτουργεί δημιουργώντας πλαστές οθόνες σύνδεσης που εμφανίζονται πάνω από τις νόμιμες φόρμες σύνδεσης των εφαρμογών τραπεζών και ανταλληκτήριων κρυπτονομισμάτων. Σύμφωνα με τους αναλυτές κακόβουλου λογισμικού, Group-IB, συλλέγονται όλα τα δεδομένα που εισάγονται στα πλαστά στοιχεία σύνδεσης, όπως ονόματα χρήστη και κωδικοί πρόσβασης.
Η Group-IB εντόπισε για πρώτη φορά το Godfather τον Ιούνιο του 2021 και το περιγράφει ως διάδοχο ενός παλιού τραπεζικού Trojan που ονομάζεται Anubis, το οποίο δεν χρησιμοποιείται πια, λόγω των Android ενημερώσεων και των «προσπαθειών των παρόχων εντοπισμού και πρόληψης κακόβουλου λογισμικού».
Τον Ιούνιο του 2022, το Godfather σταμάτησε να κυκλοφορεί πριν εμφανιστεί ξανά μια τροποποιημένη και πιο αποτελεσματική έκδοση τον Σεπτέμβριο. Από τον Οκτώβριο, 215 διεθνείς τράπεζες, 94 πορτοφόλια κρυπτονομισμάτων και 110 πλατφόρμες ανταλλαγής κρυπτονομισμάτων, βρίσκονται στο στόχαστρο του Godfather. Οι αναλυτές αναφέρουν ότι η πλειονότητα των στοχευόμενων εταιρειών βρίσκεται στις ΗΠΑ (49), στην Τουρκία (31), στην Ισπανία (30), στον Καναδά (22), στη Γερμανία (20), στη Γαλλία (19) και στο Ηνωμένο Βασίλειο (17).
Σε μια ανάρτηση, η Group-IB ισχυρίζεται ότι εάν η προτίμηση γλώσσας ενός συστήματος που στοχεύετε από το κακόβουλο λογισμικό περιλαμβάνει μια γλώσσα σε χώρες της μετασοβιετικής Ένωσης, το Trojan κλείνει, κάτι που «υποδηλώνει» ότι οι προγραμματιστές του είναι Ρωσόφωνοι.
Researchers warn against the GodFather #Android banking trojan that's targeting users of over 400 banking and #cryptocurrency apps in 16 countries.
Read: https://t.co/o65wo70vtB#infosec #cybersecurity #mobilesecurity #malware
— The Hacker News (@TheHackersNews) December 21, 2022
Μόλις εγκατασταθεί σε μια συσκευή, το Godfather μιμείται το Google Play Protect, ένα προεπιλεγμένο εργαλείο ασφαλείας που βρίσκεται σε συσκευές Android και μπορεί ακόμη και να προσημειώσει μια διαδικασία σάρωσης. Αυτό γίνεται σε μια προσπάθεια να ζητηθεί πρόσβαση στην Υπηρεσία Προσβασιμότητας, η οποία, εάν εγκριθεί από το θύμα, επιτρέπει στο Godfather πρόσβαση σε SMS και ειδοποιήσεις, στην λειτουργία εγγραφής οθόνης, στις επαφές, στην πραγματοποίηση κλήσεων, στην εγγραφή σε εξωτερικό χώρο αποθήκευσης και στην αναγνώριση της κατάστασης της συσκευής.
Μέσω της κατάχρησης της Υπηρεσίας Προσβασιμότητας του Android, το κακόβουλο λογισμικό μπορεί: να αποσπάσει κωδικούς πρόσβασης, συμπεριλαμβανομένων των κωδικών του Google Authenticator και να δημιουργεί ψεύτικες ειδοποιήσεις από εγκατεστημένες εφαρμογές στη συσκευή του θύματος, ώστε να τους μεταφέρει σε μια σελίδα phishing. Το God father μπορεί επίσης να χρησιμοποιήσει την δυνατότητά του πρόσβασης στην εφαρμογή εγγραφής οθόνης ώστε να καταγράψει ονόματα χρήστη και κωδικούς πρόσβασης που έχουν εισαχθεί σε οποιαδήποτε εφαρμογή ή ιστότοπο από το θύμα, αναφέρει η Bleeping Computer.
Το κακόβουλο λογισμικό μπορεί επίσης να κλειδώσει και να μειώσει τη φωτεινότητα της οθόνης, να εξάγει και να αποκλείσει τις ειδοποιήσεις και να ενεργοποιήσει την αθόρυβη λειτουργία σε μια συσκευή.
Eκπρόσωπος της Google ανέφερε στο PCMag:
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://news.xiaomi-miui.gr/feed/gn
Ακολουθήστε μας και στο Telegram ώστε να μαθαίνετε από τους πρώτους την κάθε μας είδηση!
