Die in Singapur ansässige Research Group-IB beschreibt die Godfather-Monster-Malware, mit der mehr als 400 Fintech-Anwendungen, Krypto-Börsen und Wallets in über 16 Ländern angegriffen werden.
In einem detaillierten berichten, Group-IB demonstriert, dass Hacker Anmeldeinformationen für Online-Banking und andere stehlen können Finanzdienstleistungen mit der Godfather-Malware, die es ihnen ermöglicht, die Konten der Opfer zu leeren. Die Finanzinstitute im Vereinigten Königreich sind unter den 400 Opfern am stärksten betroffen, wobei die Angriffe in den letzten drei Monaten stattfanden.
Laut Group-IB waren die Hälfte der Ziele Finanzinstitute. 17 befanden sich in Großbritannien, 49 in den USA, 31 in der Türkei und 30 in Spanien. Die restlichen Opfer befinden sich in Kanada, Frankreich, Deutschland, Italien und Polen.
Godfather-Trojaner: So funktioniert es
Der Android-Banking-Trojaner ist ein erneuter Nachfolger von Anubis, der im Jahr 2019 ebenfalls großen Schaden im Ökosystem angerichtet hat. Die Ähnlichkeiten zwischen diesen beiden Schadprogrammen sind ihre Methoden, um die C2-Adresse zu erhalten, C2-Befehle auszuführen und die Module für den Bildschirm zu verwenden ergreifen, Stellvertreter, und Web-Spoofing. Die Möglichkeit, Audio aufzunehmen, Ihren Standort zu verfolgen und die 2-Faktor-Authentifizierung zu umgehen, ist jedoch nur bei der Godfather-Malware verfügbar.
Die Godfather-Malware ist in Android-Anwendungen versteckt, die im Play Store angeboten werden. Der bösartige Code der Payload ist so getarnt, dass er Google Protect ähnelt. Dieser Dienst scannt Apps auf möglicherweise gefährliches Verhalten. Nach dem Start durch einen Benutzer imitiert die Malware ein echtes Google-Programm. Eine Animation zeigt „Google Protect“, aber es gibt keine.
Bei der Installation der Vektor-App aus dem Play Store wird die Malware Berechtigungen sich in das System des Opfers. Es stellt Kontakt zu seinem Befehls- und Kontrollserver her und sendet alle Daten des Opfers. Die Opfer bemerken diese Entwicklungen möglicherweise erst, wenn sie Geld verlieren und es schwierig ist, die genehmigte Anwendung zurückzuziehen oder zu deaktivieren.
Artem Grischenko, Junior-Malware-Analyst bei Group-IB, sagte, dass die Verbindungen zwischen Godfather und Annubis darauf hindeuten, dass Cyberkriminelle immer raffinierter werden. Entwickler und Manager müssen ihre Infrastruktur aktualisieren, denn wer auch immer hinter dem Paten steht Trojaner kann noch mehr machen.
Der abschließende Teil der Recherche zeigt auch, dass Länder mit Verbindungen zur untergegangenen Sowjetunion in der Liste und im Rang der Opfer völlig fehlen. EIN Codezeile In dem Trojaner wird Berichten zufolge der Betrieb eingestellt, sobald er die Sprachen Russisch, Moldawisch, Kirgisisch, Aserbaidschanisch, Kasachisch, Armenisch, Tadschikisch oder Usbekisch bemerkt. Die Forscher unterstellen die Möglichkeit a Cyber Krieg.
Quelle: https://crypto.news/android-trojan-targets-over-400-apps-inclusive-crypto-and-fintech/