HACKING

GodFather Android malware: Στοχεύει τράπεζες και crypto exchanges

This post was originally published on this site

Ένα Android malware, γνωστό ως “Godfather”, στοχεύει απειλητικά χρήστες σε 16 χώρες και προσπαθεί να κλέψει credentials λογαριασμών από πάνω από 400 διαδικτυακούς τραπεζικούς ιστότοπους και crypto exchanges.

Όταν τα ανυποψίαστα θύματα προσπαθούν να αποκτήσουν πρόσβαση στους λογαριασμούς τους σε τραπεζικούς ιστότοπους και ιστότοπους ανταλλαγής κρυπτονομισμάτων. Εκεί τους παρουσιάζονται εξελιγμένες σελίδες phishing HTML με οθόνες σύνδεσης που επικαλύπτονται έξυπνα πάνω από τις νόμιμες φόρμες του αρχικού ιστότοπου. Ως αποτέλεσμα, οι χρήστες εισάγουν εν αγνοία τους τα credentials τους σε αυτές τις κακόβουλες σελίδες.

Οι αναλυτές της Group-IB αποκάλυψαν το Godfather trojan, το οποίο πιστεύεται ότι είναι ο διάδοχος του Anubis – ενός κάποτε γνωστού banking trojan που κατέληξε να καταστεί παρωχημένο λόγω της αδυναμίας του να παρακάμψει τα νεότερα μέτρα ασφαλείας του Android.

Από τότε που η ThreatFabric παρατήρησε για πρώτη φορά το Godfather τον Μάρτιο του 2021, έχει υποστεί σημαντικές βελτιώσεις και βελτιώσεις στον κώδικα.

Επίσης, η Cyble δημοσίευσε χθες μια αναφορά που υπογραμμίζει την άνοδο της δραστηριότητας του Godfather, προωθώντας μια εφαρμογή που μιμείται ένα δημοφιλές μουσικό εργαλείο στην Τουρκία, που έχει ληφθεί 10 εκατομμύρια φορές μέσω του Google Play.

Στοχεύει τράπεζες παγκόσμια

Η Group-IB ανακάλυψε έναν μικρό distribution του κακόβουλου λογισμικού σε εφαρμογές που φιλοξενούνται στο Google Play Store, ωστόσο τα κύρια κανάλια διανομής του παραμένουν αδιευκρίνιστα, αφήνοντας ασαφή τον τρόπο με τον οποίο αρχικά μόλυνε τους χρήστες.

Σχεδόν οι μισές από τις εφαρμογές που στοχεύουν το Godfather, 215, είναι τραπεζικές εφαρμογές και οι περισσότερες από αυτές βρίσκονται στις Ηνωμένες Πολιτείες (49), στην Τουρκία (31), στην Ισπανία (30), στον Καναδά (22), στη Γαλλία (20), στη Γερμανία ( 19), και το ΗΒ (17).

Εκτός από τις τραπεζικές εφαρμογές, το Godfather στοχεύει 110 πλατφόρμες ανταλλαγής κρυπτονομισμάτων και 94 εφαρμογές cryptocurrency wallet.

Δείτε επίσης: Οι χρήστες του Ουκρανικού στρατιωτικού συστήματος DELTA στοχοποιούνται από info-stealing malware

GodFatherGodFather

Είναι ενδιαφέρον ότι το trojan είναι προγραμματισμένο να εξετάζει το περιβάλλον του – εάν εντοπίσει ότι η γλώσσα του συστήματος είναι ρυθμισμένη σε Ρωσικά, Αζερμπαϊτζάν, Αρμενικά, Λευκορωσικά, Καζακστάν, Κιργιζία, Μολδαβικά, Ουζμπεκικά ή Τατζίκικα – το trojan σταματά όλες τις λειτουργίες!

Αυτή είναι μια ισχυρή ένδειξη ότι οι συντάκτες του Godfather είναι ρωσόφωνοι, πιθανόν να κατοικούν στην περιοχή της ΚΑΚ (Κοινοπολιτεία Ανεξάρτητων Κρατών).

Δείτε επίσης: Raspberry Robin: Ψεύτικο malware ξεγελάει τους ερευνητές

Το Godfather

Μόλις εγκατασταθεί σε μια συσκευή, το Godfather μεταμφιέζεται έξυπνα ως “Google Protect”, το οποίο είναι ένα συνηθισμένο εργαλείο ασφαλείας που υπάρχει σε όλες τις συσκευές Android. Προχωρά σε ακραίες ενέργειες αντιγράφοντας τη δράση σάρωσης του Google Protect για αποτελεσματική προστασία από κακόβουλο λογισμικό.

Ο πρωταρχικός στόχος αυτής της σάρωσης είναι η παράνομη απόκτηση πρόσβασης στο Accessibility Service, εμφανιζόμενη ως αξιόπιστο εργαλείο. Μόλις εγκριθεί από το θύμα, το κακόβουλο λογισμικό θα λάβει πλήρη δικαιώματα που είναι απαραίτητα για την εκτέλεση κακόβουλων ενεργειών.

Αυτό περιλαμβάνει πρόσβαση σε SMS και ειδοποιήσεις, screen recording, επαφές, πραγματοποίηση κλήσεων, εγγραφή σε εξωτερικό χώρο αποθήκευσης και ανάγνωση της κατάστασης της συσκευής.

Επιπλέον, η Υπηρεσία Προσβασιμότητας χρησιμοποιείται καταχρηστικά για να εμποδίσει τους χρήστες να εξαλείψουν το trojan, λαμβάνοντας τους κωδικούς πρόσβασης Google Authenticator OTP (one-time passwords), υπακούοντας σε εντολές και υποκλέπτοντας μυστικά στα πεδία PIN και κωδικού πρόσβασης.

Το κακόβουλο λογισμικό Godfather συγκεντρώνει μια λίστα εφαρμογών που είναι εγκατεστημένες στη συσκευή και ζητά από τον διακομιστή εντολών και ελέγχου του να εισάγει αντίστοιχα injections, συγκεκριμένα ψεύτικες φόρμες σύνδεσης HTML που μπορούν να χρησιμοποιηθούν για την κλοπή credentials.

Επιπλέον, το κακόβουλο λογισμικό μπορεί να δημιουργήσει πλαστές ειδοποιήσεις από εφαρμογές στη συσκευή του θύματος, σε μια προσπάθεια να το ανακατευθύνει σε μια ψεύτικη σελίδα – εξαλείφοντας κάθε ανάγκη να περιμένει το άνοιγμα της συγκεκριμένης εφαρμογής.

Android malwareAndroid malware

Εάν η εφαρμογή δεν είναι στην προεγκεκριμένη λίστα του Godfather, τότε οι λειτουργίες screen recording μπορούν να χρησιμοποιηθούν για την καταγραφή των credentials που εισάγονται από το θύμα.

Οι λειτουργικές ενότητες του trojan του δίνουν τη δυνατότητα να εκτελεί ενέργειες όπως keylogging, εκκίνηση του VNC server, καταγραφή της δραστηριότητας της οθόνης, κλείδωμα και αποκλεισμός των ειδοποιήσεων των χρηστών, ρύθμιση αθόρυβης λειτουργίας, δημιουργία συνδέσεων WebSocket και σβήσιμο της οθόνης.

Δείτε επίσης: DraftKings: Credential stuffing, oι επιπτώσεις της επίθεσης

Ο πηγαίος κώδικας του Anubis διέρρευσε το 2019, επομένως το Godfather μπορεί να είναι είτε ένα νέο project από τους ίδιους συγγραφείς είτε ένα νέο κακόβουλο λογισμικό που δημιουργήθηκε από μια νέα απειλητική ομάδα.

Το Godfather είναι ένα από τα πιο εξελιγμένα και δυνητικά επιζήμια trojans, που αξιοποιεί κώδικα από το κακόβουλο λογισμικό Anubis, ενώ στοχεύει να μολύνει ένα ευρύ φάσμα εφαρμογών και χρηστών Android σε όλο τον κόσμο.

Προστατευτείτε από αυτή την πιθανή απειλή κατεβάζοντας εφαρμογές μόνο από το Google Play Store, ενημερώνοντας το λογισμικό της συσκευής σας, χρησιμοποιώντας ένα εργαλείο antivirus, ενεργοποιώντας το Play Protect και ελαχιστοποιώντας τον αριθμό των εγκατεστημένων εφαρμογών.

Πηγή πληροφοριών: bleepingcomputer.com

The post GodFather Android malware: Στοχεύει τράπεζες και crypto exchanges appeared first on SecNews.gr.

https://www.secnews.gr/security/

%d bloggers like this: