Raziskovalna skupina Group-IB s sedežem v Singapurju opisuje zlonamerno programsko opremo Godfather monster, ki se uporablja za ciljanje na več kot 400 fintech aplikacij, kripto borz in denarnic v več kot 16 državah.
V podrobnosti poročilo, Group-IB dokazuje, da lahko hekerji ukradejo podatke za prijavo v spletno bančništvo in drugo finančne storitve uporabo zlonamerne programske opreme Godfather, ki jim omogoča izpraznitev računov žrtev. Finančne institucije v Združenem kraljestvu so najhuje prizadete med 400 žrtvami, saj so se napadi zgodili v zadnjih treh mesecih.
Po skupini IB je bila polovica tarč finančnih institucij. 17 jih je bilo v Združenem kraljestvu, 49 v ZDA, 31 v Turčiji in 30 v Španiji. Preostale žrtve so v Kanadi, Franciji, Nemčiji, Italiji in na Poljskem.
Boter trojanec: kako deluje
Bančni trojanec Android je prenovljeni naslednik Anubisa, ki je prav tako povzročil veliko škode ekosistemu v letu 2019. Podobnosti med tema dvema zlonamernima programoma so metode pridobivanja naslova C2, izvajanje ukazov C2 in uporaba modulov za zaslon zajem, proxy, in spletno ponarejanje. Vendar pa je možnost snemanja zvoka, sledenja vaši lokaciji in obhoda dvofaktorske avtentikacije na voljo samo pri zlonamerni programski opremi Godfather.
Zlonamerna programska oprema Godfather je skrita v aplikacijah za Android v Trgovini Play. Zlonamerna koda koristnega tovora je prikrita tako, da spominja na Google Protect. Ta storitev pregleduje aplikacije za morebitno nevarno vedenje. Ko jo uporabnik zažene, zlonamerna programska oprema posnema pristen Googlov program. Animacija prikazuje »Google protect«, vendar je ni.
Po namestitvi vektorske aplikacije iz Trgovine Play zlonamerna programska oprema Dovoljenja sama v sistem žrtve. Vzpostavi stik s svojim ukaznim in nadzornim strežnikom ter pošlje vse podatke žrtve. Cilji lahko ta razvoj opazijo šele, ko izgubijo sredstva in jim je težko umakniti ali onemogočiti dovoljeno aplikacijo.
Artem Grischenko, mlajši analitik zlonamerne programske opreme pri Group-IB, je dejal, da vezi med Godfatherjem in Annubisom kažejo, da so kiberkriminalci vse bolj prefinjeni. Razvijalci in menedžerji morajo posodobiti svojo infrastrukturo, ker kdorkoli stoji za botrom trojanski še vedno zmore več.
Sklepni del raziskave tudi kaže, da na seznamu in lestvici žrtev v celoti manjkajo države, ki so bile povezane z razpadlo Sovjetsko zvezo. A vrstico kode v trojancu menda prekine delovanje, ko opazi ruski, moldavski, kirgiški, azerbajdžanski, kazaški, armenski, tadžiški ali uzbeški jezik. Raziskovalci namigujejo na možnost a je bil kiber.
Vir: https://crypto.news/android-trojan-targets-over-400-apps-icluded-crypto-and-fintech/