Согласно заявлению немецкого регулирующего органа BaFin, вредоносная программа под названием «Крестный отец» нацелена на пользователей криптоприложений и других сервисов. Январь 9.
BaFin заявил, что Godfather затрагивает около 400 криптовалютных и банковских приложений. Согласно отдельному отчету от Группа IB в декабре.
Godfather крадет данные для входа в систему у пользователей, отображая поддельные окна входа поверх настоящих, тем самым обманывая пользователей, заставляя их вводить свои данные в контролируемую форму.
Godfather работает только на устройствах Android. Он имитирует Google Protect, чтобы зарекомендовать себя. Затем он ложно сканирует загрузки Play Store на наличие вредоносных программ и скрывается из списка установленных приложений. Имитируя Google Protect, Godfather также может использовать AccessibilityService для дальнейшего получения доступа к устройству и передачи данных злоумышленникам.
Godfather специально пытается имитировать приложения, установленные на устройстве пользователя. Однако он также может записывать экран, запускать кейлоггеры, переадресовывать звонки, содержащие коды 2FA, отправлять SMS-сообщения и использовать различные другие стратегии.
Хотя сегодня Германия предупредила об атаках «Крестного отца», атаки происходят не только в этой стране. IB Group сообщила в своем отчете, что Godfather нацелен на пользователей в 16 странах, включая США, Турцию, Испанию, Канаду, Францию и Великобританию. Кстати, устройства, настроенные на использование определенных языков, включая русский, не могут запускать вредоносное ПО.
Group IB предположила, что Godfather частично распространялся через вредоносное приложение Google Play. Тем не менее, исследовательская группа по безопасности заявила, что в целом «недостаточно ясности» в отношении того, как именно эта вредоносная программа заражает устройства.
Фишинговые вредоносные программы довольно распространены. Одна похожая вредоносная программа называется Mars Stealer появился в 2022 году, а другой под названием енот был замечен в 2021 году.
Однако фишинг можно осуществить и без заражения пользовательских устройств. Такие атаки могут осуществляться исключительно путем создания поддельных электронных писем и веб-сайтов, которые напоминают их настоящие аналоги, полагаясь на человеческий фактор, а не на скомпрометированные устройства.
Источник: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/