Group-IB зафиксировала активность банковского Android-трояна Godfather, нападающего пользователей популярных финансовых сервисов. Об этом говорится в известьи компании. География его жертв охватывает 16 стран мира, ну а в список целей насчитывает более 400 разных банков, криптовалютных бирж и электронных кошельков. Эксперты Threat Intelligence выяснили, что Godfather распространялся через официальный магазин Google Play маскируясь под легальных криптоприложений.
Согласно новому исследованию Group-IB жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была замечена в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу. На глазок, разработчиками Godfather являются, русскоязычные преступники.
Впервые активность Godfather - мобильного банковского трояна, крадущего учетные данные клиентов банков и криптобирж, команда Group-IB Threat Intelligence заметила в начале июня 2021 года. Год спустя, в начале марта 2022-го, исследователи из Threat Fabric первыми упомянули данный банкер публично и всего лишь через пару месяцев, в июне, активность трояна вдруг прекратилась - его операторы залегли на дно. Однако в начале сентября 2022 года Godfather возвратился, уже с измененным функционалом.
Как выяснили аналитики Group-IB Threat Intelligence, в основе Godfather лежит одна из версий превосходно знаменитого банковского трояна Anubis, чей исходный код был слит еще в 2019 году. С выходом новых версий Android многие из возможностей Anubis перестали функционировать, однако его не стали списывать со счетов. Исходный код Anubis был взят за основу разработчиками Godfather, его модернизировали под более новые версии Android, а также усилили механизмы сопротивления обнаружению средствами антифрода.
Godfather унаследовал от Anubis и метод распространения. Например, загрузчик Godfather располагался в официальном магазине Google Play маскируясь под криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона - якобы запускалось стандартное приложение Google Protect - однако после показа 30 секундной анимации, появлялось известье, что никаких вредоносных приложений не отыскано.
В только в профиль время Godfather устанавливал себя в автозапуск, скрадывал иконку из списка установленных приложений, а самое главное - получал права к AccessibilityService (это одна из функций Android для пользователей, имеющих ограниченные возможности). Благодаря этому Godfather мог вести запись экрана зараженного устройства, запускать «клавиатурный шпион» - keylogger, рассылать SMS-сообщения и выполнять USSD-запросы и тд.
И как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему webfake’и (отображаемые поверх легитимных приложений html-страницы). Все введенные в эти страницы данные, в том числе логины и пароли - отправлялись злодеям. Одна из особенностей Godfather в том, что его командный сервер находится в описании Telegram-канала (техника получения С2 адреса из Telegram-канала ранее использовалась в некоторых версиях Anubis).
Фото: unsplash.com