Godfather Android-Malware stiehlt Daten von Bank-Websites & Krypto-Börsen

Eine Gruppe von IB-Analysten bei Threat Fabric hat eine Android-Malware namens Godfather entdeckt, die versucht, die Zugangsdaten von über 400 Bank-Websites und Kryptowährungsbörsen zu stehlen.

Die Forscher glauben, dass Godfather der Nachfolger von Anubis sein könnte; Anubis war eine weit verbreitete Banking-Trojaner-Android-Malware, die jedoch letztendlich nicht mehr verwendet wurde, da sie nicht in der Lage war, neuere Android-Schutzmaßnahmen zu umgehen.

Die Android-Malware, d.h. Godfather, erstellt eine Anmeldeseite über der Anmeldeseite der Bank- und Kryptowährungsbörsen-App, wenn das Opfer versucht, sich auf der Website anzumelden, und täuscht die Ziele, indem sie sie dazu bringt, die richtigen Zugangsdaten auf den gut gestalteten HTML-Phishing-Seiten einzugeben.

Die Android-Malware wurde erstmals im März 2021 von Threat Fabric entdeckt und hat seitdem einige bedeutende Verbesserungen und Aktualisierungen in ihrem Code erfahren.

Ein Bericht von Cyble erwähnt auch, dass es einen Anstieg der Aktivitäten von Android-Malware gibt und eine App antreibt, die ein berühmtes Musiktool in der Türkei imitiert und 10 Millionen Mal im Google Play Store heruntergeladen wurde.

Die Forscher konnten eine kleine Verbreitung der Godfather-Malware in den Apps im Google Play Store finden. Die Forscher sind jedoch noch dabei, den primären Verbreitungsmodus zu finden, sodass die ursprüngliche Infektionsmethode größtenteils unbekannt ist.

Die von der Android-Malware angezielten Apps sind hauptsächlich Banking-Apps aus den Vereinigten Staaten, der Türkei, Kanada, Frankreich, Deutschland, Spanien und dem Vereinigten Königreich. Außerdem sind Krypto-Börsenplattformen und Krypto-Wallet-Apps betroffen.

Darüber hinaus überprüft der Trojaner die Systemsprache, und wenn sie Russisch, Armenisch, Kasachisch, Kirgisisch, Moldawisch, Usbekisch usw. ist, hört er auf zu funktionieren. Dies deutet darauf hin, dass die Personen hinter dem Godfather-Trojaner Russisch sprechen und wahrscheinlich Bewohner der Region der Gemeinschaft Unabhängiger Staaten sind.

Sobald der Trojaner auf dem Gerät installiert ist, ahmt er Google Play Protect nach, eine Standard-Sicherheitsüberprüfung, die auf allen Android-Geräten verfügbar ist. Die Malware geht einen Schritt weiter und emuliert einen Scanprozess auf dem Gerät.

Ziel des Scans ist es, die Zugriffsberechtigungen anzufordern, die wie ein authentisches Tool aussehen, und sobald das Ziel die Anfrage genehmigt, kann die Malware sich selbst alle Berechtigungen erteilen, um alle böswilligen Aktivitäten durchzuführen.

Zu den böswilligen Aktivitäten gehören der Zugriff auf Benachrichtigungen und Nachrichten, Kontakte, das Tätigen von Telefonanrufen, das Schreiben auf externen Speicher und das Lesen des Gerätestatus.

Lesen: Bedrohungsakteur zielt auf Telekommunikationsdienstleister ab und ändert Verteidigungsmethoden bei Entdeckung

Jetzt werden die Zugriffsberechtigungen ausgenutzt, um das Opfer daran zu hindern, die Malware zu entfernen, und auch um den Google Authenticator-Code (OTPs) zu filtern, Passwörter und PINs zu stehlen und die Befehle zu verarbeiten.

Die Android-Malware exfiltriert die Liste der Apps, um passende (falsche HTML-Anmeldungen zum Stehlen der Zugangsdaten) vom C2-Server zu erhalten.

Die gefälschte Website ahmt die Anmeldeseiten für legitime Anwendungen nach, und alle Daten, die in die gefälschten HTML-Seiten eingegeben werden, wie Benutzernamen und Passwörter, werden dann an die C&C-Server exfiltriert, sagten die Forscher von Threat Fabric.

Darüber hinaus kann die Malware gefälschte Benachrichtigungen von den infizierten Apps auf dem Gerät des Opfers senden, sodass sie nicht darauf warten muss, dass die infizierte App geöffnet wird, und bei den Apps, die nicht auf der Godfather-Liste stehen, verwendet die Android-Malware ihre Bildschirmaufnahmefunktion, um die Zugangsdaten aufzuzeichnen, die das Opfer in die Felder eingibt.

Darüber hinaus akzeptiert Godfather auch die folgenden Befehle vom C2-Server, die es durch die administrativen Vorteile, die es auf dem Gerät hat, ausführt.

startUSSD - Führen Sie eine USSD-Anfrage aus.  
sentMessage - Gesendete Nachrichten vom Opfergerät (nicht in späteren Malware-Versionen verarbeitet).  
startApp - Starten Sie eine vom C2-Server definierte App.  
cachecleaner - Löschen Sie den Cache einer vom C2 bestimmten App.  
BookMessages - Senden Sie Nachrichten an alle Kontakte (wahrscheinlich zur Verbreitung, nicht in der neuesten Version verwendet).  
startforward/stopforward - Aktivieren oder deaktivieren Sie die Anrufweiterleitung an eine vom C2 bestimmte Nummer.  
openbrowser - Öffnen Sie eine beliebige Webseite.  
startstocks5/stopstocks5 - Aktivieren oder deaktivieren Sie den STOCKS5-Proxy.  
Killbot - Selbst löschen.  
startPush - Zeigen Sie eine Benachrichtigung an, die beim Klicken eine Webseite mit einer gefälschten Seite öffnet.

Die Android-Malware verfügt auch über Komponenten, die es ihr ermöglichen, Aktionen wie Keylogging, Bildschirmaufnahme, Aktivierung des Lautlosmodus, Start eines VNC-Servers, Sperren des Displays und Exfiltration und Blockierung von Benachrichtigungen auszuführen.

Wie oben erwähnt, könnte die Godfather-Malware das Werk derselben Angreifer sein, die den Anubis-Trojaner erstellt haben, dessen Quellcode 2019 geleakt wurde, oder diese Malware könnte eine völlig neue Bedrohung für Angreifer darstellen.

Beide Malware verwenden ähnliche Methoden zum Empfang der C2-Adresse, zur Ausführung von C2-Befehlen, zur gefälschten Webmethode, zum Proxy-Modus usw.

Das gesagt, schließt der Trojaner die Anubis-Dateiverschlüsselung, GPS-Tracking usw. aus, sondern beinhaltet vielmehr die VNC-Server-Methode, die Bildschirmaufnahme-Methode, einen Prozess zum Stehlen des Google Authenticators und mehr.

Lesen: Muddy Water, eine Hackergruppe nutzte kompromittierte Unternehmens-E-Mails zum Versenden von Phishing-Nachrichten