» » Group-IB выявила скрывающийся под видом криптокалькулятора Android-троян Godfather

Group-IB выявила скрывающийся под видом криптокалькулятора Android-троян Godfather

Эксперты по кибербезопасности из компании Group-IB обнаружили банковский троян для Android, известный как Godfather. Заявляется, что он используется для атаки на пользователей свыше 400 банковских, а также криптовалютных приложений в различных 16 странах по всему миру.

Впервые обнаруженный специалистами Group-IB ещё в июне 2021 года и публично раскрытый ThreatFabric в марте 2022 года, Godfather включает в себя встроенные функции бэкдора, которые позволяют ему злоупотреблять API специальных возможностей Android для записи видео, регистрации нажатий клавиш, захвата снимков экрана, а также сбора SMS и журналов вызовов.

Анализ вредоносного ПО, проведённый Group-IB, показал, что троян является преемником Anubis, ещё одного подобного трояна, впервые исходный код которого просочился на подпольном форуме в январе 2019 года.

Сходства между двумя семействами вредоносных программ распространяются на способ получения адреса управления и контроля (C2), реализацию команд C2, а также модули веб-подделки, прокси и захвата экрана.

Что особенно выделяет Godfather, так это тот факт, что он извлекает адрес своего сервера управления и контроля (C2) путем расшифровки контролируемых описаний каналов Telegram, которые закодированы с использованием шифра Blowfish.

Точный способ заражения пользовательских устройств неизвестен, хотя изучение инфраструктуры управления и контроля (C2) злоумышленника показывает, что троянские дроппер-приложения являются одним из потенциальных векторов распространения.

Примечательно, что Godfather попадал на устройства пользователей через Google Play, находясь в магазине и маскируясь под один из криптокалькуляторов. Сразу после установки и запуска поддельного калькулятора предлагается произвести проверку безопасности вашего смартфона – якобы с помощью Google Protect – а по истечении 30-секундной «проверки» всплывает сообщение, что якобы всё в порядке. После запуска мобильного или же веб-приложение банка, а также кошелька или криптобиржи, троян «подсовывал» обманку, чтобы украсть логины, пароли и другие вводимые пользователем данные.

Добавлено: 21-12-2022, 23:30
0
352
alexey
Новости / Технологии / Софт
Поделиться:

Подписывайтесь на «Umteh.com» в Новостях и Telegram.

Новости партнеров

Новости СМИ2

Похожие публикации

В даркнете обнаружена платформа Zombinder для троянизации Android-приложений
Новый вредонос RatMilad для Android шпионит за пользователем с помощью поддельного VPN
Банковский троян BRATA для Android научился красть больше информации
Банковский троян Xenomorph заразил 50 тысяч устройств через Google Play
В Google Play обнаружили сканер QR-кодов и другие приложения, крадущие данные банковских приложений

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Наверх