GodFather, şu anda dünya çapında 400’den fazla bankacılık, kripto cüzdanı ve takas uygulamasının şüphelenmeyen kullanıcılarını hedefleyen yeni bir Android bankacılık truva atı.
Group-IB’deki siber güvenlik araştırmacıları, en az Haziran 2021’den beri bankacılık uygulamalarını, kripto borsalarını ve kripto para cüzdanlarını hedefleyen tehlikeli bir mobil bankacılık truva atının ayrıntılarını paylaştı.
GodFather nedir?
Group-IB tarafından “GodFather” olarak adlandırılan bu kötü amaçlı yazılım, 16 ülkede 400’den fazla kripto para birimi ve bankacılık uygulamasının kullanıcılarını hedef aldı. Group-IB, Trojan’ı Haziran 2021’de tespit ederken, bilgiler ThreatFabric tarafından Mart 2022’de kamuya açıklandı.
Araştırmacılar, GodFather’ın bir başkasının halefi olabileceğine inanıyor Anubis adlı bankacılık truva atıkaynak kodu Ocak 2019’da bir yeraltı bilgisayar korsanlığı forumunda sızdırılmıştı.
Nasıl Teslim Edilir?
Kötü amaçlı yazılım, hizmet olarak kötü amaçlı yazılım platformları aracılığıyla farklı tehdit aktörlerine iletilir ve Google Play’de bulunan uygulamaların içine gizlenir. Bu uygulamalar yasal görünüyor; ancak gerçekte, güvenlik altına alınmış gibi görünmesi için yapılmış bir yük içerirler. Google Koruma.
Bir kurban sahte bir bildirimle etkileşime geçtiğinde veya bu uygulamalardan birini açmaya çalıştığında, kötü amaçlı yazılım, SMS tabanlı 2FA kodlarıyla birlikte kullanıcı adlarını ve parolaları çalmaya başlayan sahte bir web yerleşimi görüntüler.
GodFather Yetenekleri nelerdir?
Kötü amaçlı yazılım, hedeflenen uygulamalar aracılığıyla sahte, ancak yer paylaşımlı ekranlar veya web sahteleri oluşturarak kullanıcı kimlik bilgilerini çalar. nedeniyle arka kapı yetenekleriGodFather, Android sistemlerinin Erişilebilirlik API’lerini kötüye kullanabilir, tuş vuruşlarını günlüğe kaydedebilir, videolar kaydedebilir, arama günlüklerini ve SMS’leri çalabilir ve ekran görüntüleri yakalayabilir.
Ayrıca, keylogger’ları başlatabilir ve istenen bilgileri almak için cihaz ekranını takip edebilir. Alışılmadık çünkü C&C sunucu adresini, tehdit aktörü tarafından kontrol edilen ve adı verilen popüler şifre ile kodlanmış bir Telegram kanal açıklamasının şifresini çözerek alıyor. balon balığı.
Hedefler kimlerdir?
Group-IB’ye göre bildiri, son saldırı çılgınlığında yaklaşık 215 banka, 110 kripto borsası ve 94 kripto cüzdan sağlayıcısı GodFather operatörleri tarafından hedef alındı. GodFather truva atının ana hedefleri aşağıdaki ülkeleri içerir:
- İtalya
- ispanya
- Türkiye
- Fransa
- Kanada
- Almanya
- Amerika Birleşik Devletleri
- Birleşik Krallık
Kötü amaçlı yazılımın Sovyet sonrası ülkeleri hedeflemediğini belirtmekte fayda var, bu da saldırganların Rusça.
“Potansiyel kurbanın sistem tercihleri o bölgedeki dillerden birini içeriyorsa Trojan kapanıyor. Bu, GodFather geliştiricilerinin Rusça konuştuğunu düşündürebilir.”
Artem Grischenko – Grup-IB
Alakalı haberler
- Android kötü amaçlı yazılımı TeaBot, verileri çalıyor, SMS’leri engelliyor
- BRATA Android kötü amaçlı yazılımı fonları çaldı, telefonları fabrika ayarlarına sıfırladı
- Rus Android Kötü Amaçlı Yazılımı GPS Konumunu İzliyor, Kurbanları Casuslaştırıyor
- TangleBot Android kötü amaçlı yazılımı telefonları ele geçirir, oturum açma kimlik bilgilerini çalar