Malware Android Godfather che ruba dati di siti bancari e scambi di criptovalute

Un gruppo di analisti IB di Threat Fabric ha scoperto un malware Android chiamato Godfather, che ha cercato di rubare le credenziali di oltre 400 siti bancari e scambi di criptovalute.

I ricercatori credono che il Godfather potrebbe essere il sostituto dell’Anubis; bene, Anubis era un malware trojan bancario Android ampiamente utilizzato, anche se, alla fine, non è stato utilizzato a causa della sua incapacità di superare le difese Android più recenti.

Il malware Android, cioè Godfather, crea una schermata di accesso sopra la pagina di accesso dell’app bancaria e di scambio di criptovalute quando la vittima cerca di accedere al sito, ingannando i bersagli a inserire le credenziali corrette su pagine di phishing HTML ben fatte.

Il malware Android è stato scoperto per la prima volta a marzo 2021 da Threat Fabric, e da allora ha visto alcuni miglioramenti e aggiornamenti significativi nel suo codice.

Inoltre, un rapporto di Cyble menziona che c’è un aumento delle attività di malware Android e sta guidando un’app che impersona un famoso strumento musicale in Turchia ed è stata scaricata 10 milioni di volte su Google Play Store.

Bene, i ricercatori sono stati in grado di trovare una piccola distribuzione del malware Godfather nelle app su Google Play Store. Tuttavia, i ricercatori devono ancora trovare il modo principale di distribuzione, quindi il metodo di infezione iniziale è per lo più sconosciuto.

Le app mirate dal malware Android sono per lo più app bancarie degli Stati Uniti, Turchia, Canada, Francia, Germania, Spagna e Regno Unito. Inoltre, mirano a piattaforme di scambio di criptovalute e app di portafoglio di criptovalute.

Inoltre, il trojan è impostato per controllare la lingua del sistema, e se è russo, armeno, kazako, kirghizo, moldavo, uzbeko, ecc., allora smette di funzionare. Questo indica che le persone dietro il trojan Godfather parlano russo e sono probabilmente residenti nella regione della Comunità degli Stati Indipendenti.

Bene, una volta installato il trojan sul dispositivo, imita Google Play Protect, un controllo di sicurezza standard disponibile su tutti i dispositivi Android. Il malware va un passo oltre e emula un processo di scansione sul dispositivo.

L’obiettivo della scansione è richiedere servizi di accessibilità che sembrano uno strumento autentico, e una volta che il bersaglio approva la richiesta, il malware può concedersi tutti i permessi per svolgere tutte le attività dannose.

Le attività dannose includono accesso a notifiche e messaggi, contatti, effettuare chiamate, scrivere su memoria esterna e leggere lo stato del dispositivo.

Leggi: Attore di minaccia prende di mira i fornitori di servizi telecom e altera i metodi difensivi quando rilevato

Ora, i servizi di accessibilità vengono sfruttati per impedire alla vittima di rimuovere il malware e anche filtrare il codice di Google Authenticator (OTP), rubando le password e i PIN e elaborando i comandi.

Il malware Android esfiltra l’elenco delle app per ricevere corrispondenze (falsi accessi HTML per rubare le credenziali) dal server C2.

Il web falso imita le pagine di accesso per applicazioni legittime, e tutti i dati inseriti nelle pagine HTML false, come nomi utente e password, vengono poi esfiltrati ai server C&C, hanno detto i ricercatori di Threat Fabric.

In aggiunta a questo, il malware può inviare notifiche false dalle app infette sul dispositivo della vittima, quindi non deve aspettare che l’app infetta si apra e le app che non sono nelle liste del Godfather, il malware Android utilizza la sua funzione di registrazione dello schermo per registrare le credenziali che la vittima inserisce nei campi.

Inoltre, il Godfather accetta anche i seguenti comandi dal server C2, che esegue attraverso il vantaggio amministrativo che ha sul dispositivo.

startUSSD - Esegui una richiesta USSD.  
sentMessage - Invia messaggi dal dispositivo della vittima (non elaborato nelle versioni successive del malware).  
startApp - Avvia un'app definita dal server C2.  
cachecleaner - Pulisci la cache di qualsiasi app determinata dal C2.  
BookMessages - Invia messaggi a tutti i contatti (probabilmente per la diffusione, non utilizzato nell'ultima versione).  
startforward/ stopforward - Abilita o disabilita l'inoltro delle chiamate a un numero determinato dal C2.  
openbrowser - Apri una pagina web arbitraria.  
startstocks5/ stopstocks5 - Abilita o disabilita il proxy STOCKS5.  
Killbot- Autoelimina.  
startPush.- Mostra una notifica che, quando cliccata, apre una pagina web con una pagina falsa.

Il malware Android presenta anche componenti che gli consentono di eseguire azioni come keylogging, registrazione dello schermo, attivazione della modalità silenziosa, avvio di un server VNC, blocco del display e esfiltrazione e blocco delle notifiche.

Come accennato sopra, il malware Godfather potrebbe essere la creazione degli stessi attaccanti che hanno creato il trojan Anubis, il cui codice sorgente è trapelato nel 2019, oppure questo malware potrebbe consistere in una minaccia completamente nuova per gli attaccanti.

Bene, entrambi i malware adottano metodi simili per ricevere l’indirizzo C2, esecuzione dei comandi C2, il metodo web falso, la modalità proxy, ecc.

Detto ciò, il trojan esclude la crittografia dei file Anubis, il tracciamento GPS, ecc., ma include piuttosto il metodo del server VNC, il metodo di registrazione dello schermo, ha aggiunto un processo per rubare Google Authenticator e altro ancora.

Leggi: Muddy Water, un gruppo di hacker ha utilizzato email aziendali compromesse per inviare messaggi di phishing