Malware Android Godfather Roubando Dados de Sites Bancários e Exchanges de Criptomoedas

Um grupo de analistas de IB da Threat Fabric descobriu um malware Android chamado Godfather, que tem tentado roubar as credenciais de mais de 400 sites bancários e exchanges de criptomoedas.

Os pesquisadores acreditam que o Godfather pode ser o substituto do Anubis; bem, o Anubis era um trojan bancário de malware Android que foi amplamente utilizado, embora, no final, não tenha sido usado devido à sua incapacidade de contornar as defesas mais recentes do Android.

O malware Android, ou seja, Godfather, cria uma tela de login no topo da página de login do aplicativo bancário e da exchange de criptomoedas quando a vítima tenta fazer login no site, enganando os alvos a inserir as credenciais corretas nas bem elaboradas páginas de phishing em HTML.

O malware Android foi descoberto pela primeira vez em março de 2021 pela Threat Fabric, e desde então, viu algumas melhorias e atualizações significativas em seu código.

Além disso, um relatório da Cyble menciona que há um aumento nas atividades de malware Android e está impulsionando um aplicativo que imita uma famosa ferramenta de música na Turquia e foi baixado 10 milhões de vezes na Google Play Store.

Bem, os pesquisadores conseguiram encontrar uma pequena distribuição do malware Godfather nos aplicativos da Google Play Store. No entanto, os pesquisadores ainda não encontraram o modo de distribuição primário, então o método de infecção inicial é majoritariamente desconhecido.

Os aplicativos-alvo do malware Android são principalmente aplicativos bancários dos Estados Unidos, Turquia, Canadá, França, Alemanha, Espanha e Reino Unido. Além disso, plataformas de exchange de criptomoedas e aplicativos de carteira de criptomoedas.

Além disso, o trojan é programado para verificar o idioma do sistema, e se for russo, armênio, cazaque, quirguiz, moldavo, uzbeque, etc., então ele para de funcionar. Isso indica que as pessoas por trás do trojan Godfather falam russo e provavelmente são residentes da Região da Comunidade dos Estados Independentes.

Bem, assim que o trojan é instalado no dispositivo, ele imita o Google Play Protect, uma verificação de segurança padrão disponível em todos os dispositivos Android. O malware vai um passo além e emula um processo de varredura no aparelho.

O objetivo da varredura é solicitar serviços de Acessibilidade que se parecem com uma ferramenta autêntica, e uma vez que o alvo aprova a solicitação, o malware pode se conceder todas as permissões para realizar todas as atividades maliciosas.

As atividades maliciosas incluem acesso a notificações e Mensagens, contatos, fazer chamadas telefônicas, escrever em armazenamento externo e ler o status do aparelho.

Leia: Ator Ameaçador Alvo Provedores de Serviços de Telecomunicações e Altera Métodos Defensivos Quando Detectado

Agora, os serviços de Acessibilidade são explorados para impedir que a vítima remova o malware e também filtrar o código do Google Authenticator (OTPs), roubando as senhas e PINs e processando os comandos.

O malware Android exfiltra a lista de aplicativos para receber correspondências (Logins HTML falsos para roubar as credenciais) do servidor C2.

A web falsa imita as páginas de login para aplicativos legítimos, e todos os dados inseridos nas páginas HTML falsas, como nomes de usuário e senhas, são então exfiltrados para servidores C&C, disseram os pesquisadores da Threat Fabric.

Além disso, o malware pode enviar notificações falsas dos aplicativos infectados no aparelho da vítima, para que não precise esperar que o aplicativo infectado seja aberto e os aplicativos que não estão nas listas do Godfather, o malware Android usa seu recurso de gravação de tela para gravar as credenciais que a vítima insere nos campos.

Além disso, o Godfather também aceita os seguintes comandos do servidor C2, que ele executa através do benefício administrativo que possui no dispositivo.

startUSSD - Executar uma solicitação USSD.  
sentMessage - Enviar Mensagens do dispositivo da vítima (Não processado em versões posteriores do malware).  
startApp - Iniciar um aplicativo definido pelo servidor C2.  
cachecleaner - Limpar o cache de qualquer aplicativo determinado pelo C2.  
BookMessages - Enviar mensagens para todos os contatos (provavelmente para espalhar, não usado na versão mais recente).  
startforward/ stopforward - Ativar ou desativar o encaminhamento de chamadas para um número determinado pelo C2.  
openbrowser - Abrir uma página da web arbitrária.  
startstocks5/ stopstocks5 - Ativar ou desativar o proxy STOCKS5.  
Killbot- Auto excluir.  
startPush.- Mostrar uma notificação que, quando clicada, abre uma página da web com uma página falsa.

O malware Android também possui componentes que permitem executar ações como keylogging, gravar a tela, ativar o modo silencioso, iniciar um servidor VNC, bloquear a tela e exfiltrar e bloquear notificações.

Como mencionado acima, o malware Godfather pode ser a criação dos mesmos atacantes que criaram o trojan Anubis, cujo código-fonte vazou em 2019, ou esse malware pode consistir em uma ameaça totalmente nova para os atacantes.

Bem, ambos os malwares adotam métodos semelhantes de recebimento do endereço C2, execução de comandos C2, método web falso, modo proxy, etc.

Dito isso, o trojan exclui a criptografia de arquivos do Anubis, rastreamento GPS, etc., mas inclui o método do servidor VNC, método de gravação de tela, adicionou um processo para roubar o Google Authenticator e mais.

Leia: Muddy Water, um Grupo de Hackers Usou E-mails Corporativos Comprometidos para Enviar Mensagens de Phishing