O Group-IB de pesquisa com sede em Cingapura descreve o malware monstro Godfather usado para atingir mais de 400 aplicativos fintech, exchanges de criptomoedas e carteiras em mais de 16 países.
Em um detalhado Denunciar, Group-IB demonstra que hackers podem roubar informações de login para serviços bancários online e outros serviços financeiros usando o malware Godfather, permitindo-lhes esvaziar as contas das vítimas. As instituições financeiras do Reino Unido são as mais atingidas entre as 400 vítimas, com ataques ocorridos nos últimos três meses.
Por Grupo-IB, metade dos alvos eram instituições financeiras. 17 estavam localizados no Reino Unido, 49 nos Estados Unidos, 31 na Turquia e 30 na Espanha. As vítimas restantes estão no Canadá, França, Alemanha, Itália e Polônia.
Godfather trojan: como funciona
O Android banking Trojan é um sucessor renovado do Anubis, que também causou muitos danos ao ecossistema em 2019. As semelhanças entre esses dois malwares são seus métodos de obtenção do endereço C2, execução de comandos C2 e uso dos módulos para tela capturar, procuraçãoe falsificação da web. No entanto, a capacidade de gravar áudio, rastrear sua localização e ignorar a autenticação de 2 fatores está disponível apenas no malware Godfather.
O malware Godfather está oculto em aplicativos Android apresentados na Play Store. O código malicioso da carga é disfarçado para se parecer com o Google Protect. Este serviço verifica os aplicativos em busca de comportamentos possivelmente perigosos. Após ser lançado por um usuário, o malware imita um programa genuíno do Google. Uma animação mostra “Proteção do Google”, mas não há nenhuma.
Ao instalar o aplicativo vetorial da Play Store, o malware permissões -se no sistema da vítima. Ele estabelece contato com seu servidor de comandos e controle, enviando todos os dados da vítima. Os alvos podem perceber esses desenvolvimentos apenas quando perderem fundos e acharem difícil retirar ou desabilitar o aplicativo autorizado.
Artem Grischenko, analista júnior de malware do Group-IB, disse que os laços entre Godfather e Annubis indicam que os cibercriminosos estão crescendo em sofisticação. É preciso que desenvolvedores e gestores atualizem sua infraestrutura porque quem está por trás do Poderoso Chefão troiano ainda pode fazer mais.
A parte conclusiva da pesquisa também mostra que os países com vínculos com a extinta União Soviética estão totalmente ausentes da lista e classificação das vítimas. UMA linha de código in the trojan supostamente encerra as operações assim que detecta os idiomas russo, moldavo, quirguiz, azerbaijano, cazaque, armênio, tadjique ou uzbeque. Os pesquisadores estão insinuando a possibilidade de uma guerra cibernética.
Fonte: https://crypto.news/android-trojan-targets-over-400-apps- including-crypto-and-fintech/