Малварь Godfather для Android крадет данные банковских сайтов и криптобирж

Группа аналитиков IB в Threat Fabric обнаружила малварь для Android под названием Godfather, которая пытается украсть учетные данные более 400 банковских сайтов и криптовалютных бирж.

Исследователи считают, что Godfather может быть заменой Anubis; Anubis был банковским трояном для Android, который широко использовался, хотя в конечном итоге его не использовали из-за неспособности обойти новые защиты Android.

Малварь для Android, т.е. Godfather, создает экран входа поверх страницы входа в банковское и криптовалютное приложение, когда жертва пытается войти на сайт, обманывая цели, заставляя их вводить правильные учетные данные на хорошо сделанных HTML-фишинговых страницах.

Малварь для Android была впервые обнаружена в марте 2021 года компанией Threat Fabric, и с тех пор она претерпела значительные улучшения и обновления в своем коде.

Кроме того, отчет от Cyble упоминает о росте активности малвари для Android и о приложении, которое выдает себя за известный музыкальный инструмент в Турции и было загружено 10 миллионов раз в Google Play Store.

Исследователи смогли найти небольшое распространение малвари Godfather в приложениях на Google Play Store. Однако исследователи еще не нашли основной способ распространения, поэтому начальный метод заражения в значительной степени неизвестен.

Приложения, на которые нацелена малварь для Android, в основном являются банковскими приложениями из США, Турции, Канады, Франции, Германии, Испании и Великобритании. Также нацелены криптовалютные биржи и приложения для криптовалютных кошельков.

Более того, троян проверяет системный язык, и если он русский, армянский, казахский, киргизский, молдавский, узбекский и т.д., то он прекращает функционировать. Это указывает на то, что люди, стоящие за трояном Godfather, говорят по-русски и, вероятно, являются жителями региона Содружества Независимых Государств.

Когда троян установлен на устройстве, он имитирует Google Play Protect, стандартную проверку безопасности, доступную на всех устройствах Android. Малварь идет на шаг дальше и эмулирует процесс сканирования на устройстве.

Цель сканирования - запросить службы доступности, которые выглядят как подлинный инструмент, и как только цель одобряет запрос, малварь может предоставить себе все разрешения для выполнения всех злонамеренных действий.

Злонамеренные действия включают доступ к уведомлениям и сообщениям, контактам, совершение телефонных звонков, запись на внешнее хранилище и чтение статуса устройства.

Читать: Угроза от злоумышленников нацеливается на телекоммуникационные компании и изменяет методы защиты при обнаружении

Теперь службы доступности используются для предотвращения удаления малвари жертвой, а также для фильтрации кода Google Authenticator (OTP), кражи паролей и ПИН-кодов и обработки команд.

Малварь для Android эксфильтрует список приложений, чтобы получать совпадения (поддельные HTML-входы для кражи учетных данных) с сервера C2.

Поддельный веб-сайт имитирует страницы входа для законных приложений, и все данные, введенные на поддельных HTML-страницах, такие как имена пользователей и пароли, затем эксфильтруются на серверы C&C, сообщили исследователи Threat Fabric.

Кроме того, малварь может отправлять поддельные уведомления из зараженных приложений на устройстве жертвы, так что ей не нужно ждать, пока зараженное приложение откроется, а для приложений, которые не находятся в списках Godfather, малварь использует свою функцию записи экрана, чтобы записывать учетные данные, которые жертва вводит в поля.

Более того, Godfather также принимает следующие команды от сервера C2, которые он выполняет через административные права, которые у него есть на устройстве.

startUSSD - Выполнить запрос USSD.  
sentMessage - Отправить сообщения с устройства жертвы (не обрабатывается в более поздних версиях малвари).  
startApp - Запустить приложение, определенное сервером C2.  
cachecleaner - Очистить кэш любого приложения, определенного C2.  
BookMessages - Отправить сообщения всем контактам (вероятно, для распространения, не используется в последней версии).  
startforward/ stopforward - Включить или отключить переадресацию звонков на номер, определенный C2.  
openbrowser - Открыть произвольную веб-страницу.  
startstocks5/ stopstocks5 - Включить или отключить прокси STOCKS5.  
Killbot- Самоудаление.  
startPush.- Показать уведомление, которое при нажатии открывает веб-страницу с поддельной страницей.

Малварь для Android также включает компоненты, которые позволяют ей выполнять действия, такие как кейлоггинг, запись экрана, включение беззвучного режима, запуск VNC-сервера, блокировка дисплея и эксфильтрация и блокировка уведомлений.

Как упоминалось выше, малварь Godfather может быть созданием тех же злоумышленников, которые создали троян Anubis, исходный код которого утек в 2019 году, или эта малварь может представлять собой совершенно новую угрозу для злоумышленников.

Тем не менее, обе малвари используют аналогичные методы получения адреса C2, выполнения команд C2, поддельного веб-метода, режима прокси и т.д.

Сказав это, троян исключает шифрование файлов Anubis, GPS-трекинг и т.д., но включает метод VNC-сервера, метод записи экрана, добавленный процесс кражи Google Authenticator и многое другое.

Читать: Muddy Water, группа хакеров использовала компрометированные корпоративные электронные письма для отправки фишинговых сообщений