Malware Android Godfather Robando Datos de Sitios Web Bancarios y Exchanges de Criptomonedas

Un grupo de analistas de IB en Threat Fabric ha descubierto un malware Android llamado Godfather, que ha estado intentando robar las credenciales de más de 400 sitios web bancarios y exchanges de criptomonedas.

Los investigadores creen que Godfather podría ser el reemplazo de Anubis; bueno, Anubis era un troyano bancario de malware Android que fue ampliamente utilizado, aunque, al final, no se utilizó debido a su incapacidad para eludir las defensas más nuevas de Android.

El malware Android, es decir, Godfather, crea una pantalla de inicio de sesión en la parte superior de la página de inicio de sesión de la aplicación bancaria y del exchange de criptomonedas cuando la víctima intenta iniciar sesión en el sitio web, engañando a los objetivos para que ingresen las credenciales correctas en las bien elaboradas páginas de phishing en HTML.

El malware Android fue descubierto por primera vez en marzo de 2021 por Threat Fabric, y desde entonces, ha visto algunas mejoras y actualizaciones significativas en su código.

Además, un informe de Cyble menciona que hay un aumento en las actividades de malware Android y está impulsando una aplicación que imita una famosa herramienta musical en Turquía y ha sido descargada 10 millones de veces en Google Play Store.

Bueno, los investigadores pudieron encontrar una pequeña distribución del malware Godfather en las aplicaciones de Google Play Store. Sin embargo, los investigadores aún no han encontrado el modo de distribución principal, por lo que el método de infección inicial es mayormente desconocido.

Las aplicaciones objetivo del malware Android son principalmente aplicaciones bancarias de Estados Unidos, Turquía, Canadá, Francia, Alemania, España y el Reino Unido. También, plataformas de intercambio de criptomonedas y aplicaciones de billetera de criptomonedas.

Además, el troyano está configurado para verificar el idioma del sistema, y si es ruso, armenio, kazajo, kirguís, moldavo, uzbeko, etc., entonces deja de funcionar. Esto indica que las personas detrás del troyano Godfather hablan ruso y probablemente son residentes de la Región de la Comunidad de Estados Independientes.

Bueno, una vez que el troyano está instalado en el dispositivo, imita Google Play Protect, un chequeo de seguridad estándar disponible en todos los dispositivos Android. El malware va un paso más allá y emula un proceso de escaneo en el dispositivo.

El objetivo del escaneo es solicitar servicios de Accesibilidad que parecen una herramienta auténtica, y una vez que el objetivo aprueba la solicitud, el malware puede otorgarse todos los permisos para llevar a cabo todas las actividades maliciosas.

Las actividades maliciosas incluyen acceso a notificaciones y mensajes, contactos, realizar llamadas telefónicas, escribir en almacenamiento externo y leer el estado del dispositivo.

Leer: Actor de Amenaza Apunta a Proveedores de Servicios de Telecomunicaciones y Alteran Métodos Defensivos Cuando Son Detectados

Ahora, los servicios de Accesibilidad son explotados para evitar que la víctima elimine el malware y también filtran el código de Google Authenticator (OTPs), robando las contraseñas y pines y procesando los comandos.

El malware Android exfiltra la lista de aplicaciones para recibir coincidencias (Inicios de sesión HTML falsos para robar las credenciales) desde el servidor C2.

La web falsa imita las páginas de inicio de sesión de aplicaciones legítimas, y todos los datos ingresados en las páginas HTML falsas, como nombres de usuario y contraseñas, son luego exfiltrados a los servidores C&C, dijeron los investigadores de Threat Fabric.

Además de esto, el malware puede enviar notificaciones falsas desde las aplicaciones infectadas en el dispositivo de la víctima, por lo que no tiene que esperar a que la aplicación infectada se abra y las aplicaciones que no están en las listas de Godfather, el malware Android utiliza su función de grabación de pantalla para grabar las credenciales que la víctima ingresa en los campos.

Además, Godfather también acepta los siguientes comandos del servidor C2, que realiza a través del beneficio administrativo que tiene en el dispositivo.

startUSSD - Ejecutar una solicitud USSD.  
sentMessage - Enviar mensajes desde el dispositivo de la víctima (No procesado en versiones posteriores del malware).  
startApp - Lanzar una aplicación definida por el servidor C2.  
cachecleaner - Limpiar la caché de cualquier aplicación determinada por el C2.  
BookMessages - Enviar mensajes a todos los contactos (probablemente para propagación, no utilizado en la última versión).  
startforward/ stopforward - Habilitar o deshabilitar el desvío de llamadas a un número determinado por el C2.  
openbrowser - Abrir una página web arbitraria.  
startstocks5/ stopstocks5 - Habilitar o deshabilitar el proxy STOCKS5.  
Killbot- Autodestruir.  
startPush.- Mostrar una notificación que al hacer clic abre una página web con una página falsa.

El malware Android también cuenta con componentes que le permiten ejecutar acciones como keylogging, grabar la pantalla, activar el modo silencioso, iniciar un servidor VNC, bloquear la pantalla y exfiltrar y bloquear notificaciones.

Como se mencionó anteriormente, el malware Godfather podría ser la creación de los mismos atacantes que crearon el troyano Anubis, cuyo código fuente se filtró en 2019, o este malware podría consistir en una amenaza completamente nueva para los atacantes.

Bueno, ambos malware adoptan métodos similares para recibir la dirección C2, la ejecución de comandos C2, el método de web falsa, el modo proxy, etc.

Dicho esto, el troyano excluye la encriptación de archivos de Anubis, el seguimiento GPS, etc., pero incluye el método del servidor VNC, el método de grabación de pantalla, agregó un proceso para robar Google Authenticator, y más.

Leer: Muddy Water, un Grupo de Hackers Usó Correos Electrónicos Corporativos Comprometidos para Enviar Mensajes de Phishing