Сінгапурская даследчая група Group-IB апісвае шкоднаснае праграмнае забеспячэнне Godfather monster, якое выкарыстоўваецца для нападу на больш чым 400 фінтэх-прыкладанняў, крыптабіржаў і кашалькоў у больш чым 16 краінах.
У падрабязным паведамляць, Group-IB дэманструе, што хакеры могуць скрасці інфармацыю для ўваходу ў інтэрнэт-банкінг і інш фінансавыя паслугі выкарыстанне шкоднаснага ПЗ Godfather, што дазваляе ім ачышчаць уліковыя запісы ахвяр. Фінансавыя ўстановы Вялікабрытаніі найбольш пацярпелі з 400 ахвяраў, напады адбыліся на працягу апошніх трох месяцаў.
У адпаведнасці з Group-IB, палова мэтаў былі фінансавымі ўстановамі. 17 знаходзіліся ў Вялікабрытаніі, 49 у ЗША, 31 у Турцыі і 30 у Іспаніі. Астатнія ахвяры знаходзяцца ў Канадзе, Францыі, Германіі, Італіі і Польшчы.
Траян Godfather: як гэта працуе
Банкаўскі траян Android з'яўляецца пераемнікам Anubis, які таксама нанёс вялікую шкоду экасістэме ў 2019 годзе. Падабенства паміж гэтымі двума шкоднаснымі праграмамі заключаецца ў іх метадах атрымання адраса C2, выканання каманд C2 і выкарыстання модуляў для экрана захоп, паўнамоцтваі вэб-спуфінг. Аднак магчымасць запісу аўдыё, адсочвання вашага месцазнаходжання і абыходу 2-фактарнай аўтэнтыфікацыі даступная толькі для шкоднаснага ПЗ Godfather.
Шкоднасная праграма Godfather схавана ў праграмах Android, прадстаўленых у Play Store. Шкоднасны код карыснай нагрузкі замаскіраваны пад Google Protect. Гэты сэрвіс правярае прыкладанні на наяўнасць магчымых небяспечных паводзін. Пасля запуску карыстальнікам шкоднасная праграма імітуе сапраўдную праграму Google. Анімацыя паказвае «Google protect», але яе няма.
Пры ўсталёўцы вектарнага прыкладання з Play Store шкоднасная праграма дазволаў сябе ў сістэму ахвяры. Ён усталёўвае сувязь са сваім серверам каманд і кіравання, адпраўляючы ўсе дадзеныя ахвяры. Мэты могуць заўважыць гэтыя падзеі толькі пасля таго, як яны страцяць сродкі і ім будзе цяжка зняць або адключыць дазволенае прыкладанне.
Арцём Грышчанка, малодшы аналітык шкоднасных праграм Group-IB, сказаў, што сувязі паміж Godfather і Annubis сведчаць аб тым, што кіберзлачынцы растуць удасканаленымі. Распрацоўшчыкам і менеджэрам неабходна абнавіць сваю інфраструктуру, таму што хто б ні стаяў за Хросным бацькам траяны усё яшчэ можа зрабіць больш.
Заключная частка дасьледаваньня таксама паказвае, што ў сьпісе і рангу ахвяраў зусім адсутнічаюць краіны, зьвязаныя з неіснуючым Савецкім Саюзам. А радок кода паведамляецца, што траян спыняе працу, як толькі заўважае рускую, малдаўскую, кыргызскую, азербайджанскую, казахскую, армянскую, таджыкскую або ўзбекскую мовы. Даследчыкі мяркуюць, што а кібервайна.
Крыніца: https://crypto.news/android-trojan-targets-over-400-apps-icluded-crypto-and-fintech/