Penyelidikan yang berpangkalan di Singapura Group-IB menerangkan perisian hasad raksasa Godfather yang digunakan untuk menyasarkan lebih daripada 400 aplikasi fintech, pertukaran kripto dan dompet di lebih 16 negara.
Secara terperinci melaporkan, Group-IB menunjukkan bahawa penggodam boleh mencuri maklumat log masuk untuk perbankan dalam talian dan lain-lain perkhidmatan kewangan menggunakan perisian hasad Godfather, membolehkan mereka mengosongkan akaun mangsa. Institusi kewangan di United Kingdom adalah yang paling teruk terjejas dalam kalangan 400 mangsa, dengan serangan berlaku dalam tempoh tiga bulan lalu.
Bagi Kumpulan-IB, separuh daripada sasaran adalah institusi kewangan. 17 terletak di UK, 49 di AS, 31 di Turki dan 30 di Sepanyol. Mangsa yang tinggal di Kanada, Perancis, Jerman, Itali dan Poland.
Godfather trojan: bagaimana ia berfungsi
Trojan perbankan Android ialah pengganti Anubis yang diperbaharui, yang juga menyebabkan banyak kerosakan pada ekosistem pada tahun 2019. Persamaan antara kedua-dua perisian hasad ini ialah kaedah mereka untuk mendapatkan alamat C2, menjalankan perintah C2 dan menggunakan modul untuk skrin menangkap, proksi, dan penipuan web. Walau bagaimanapun, keupayaan untuk merakam audio, menjejak lokasi anda dan memintas pengesahan 2 faktor hanya tersedia pada perisian hasad Godfather.
Perisian jahat Godfather disembunyikan dalam aplikasi Android yang dipaparkan di Gedung Play. Kod hasad muatan disamarkan untuk menyerupai Google Protect. Perkhidmatan ini mengimbas apl untuk mengesan tingkah laku yang mungkin berbahaya. Selepas dilancarkan oleh pengguna, perisian hasad meniru program Google yang tulen. Animasi menunjukkan "Google protect", tetapi tidak ada.
Selepas memasang apl vektor daripada Gedung Play, perisian hasad kebenaran sendiri ke dalam sistem mangsa. Ia mewujudkan hubungan dengan arahan dan pelayan kawalannya, menghantar semua data mangsa. Sasaran mungkin hanya menyedari perkembangan ini sebaik sahaja mereka kehilangan dana dan mendapati sukar untuk menarik balik atau melumpuhkan aplikasi yang dibenarkan.
Artem Grischenko, penganalisis malware junior di Group-IB, berkata bahawa hubungan antara Godfather dan Annubis menunjukkan bahawa penjenayah siber berkembang dalam kecanggihan. Terdapat keperluan untuk pemaju dan pengurus untuk mengemas kini infrastruktur mereka kerana sesiapa yang berada di belakang Godfather trojan masih boleh buat lebih.
Bahagian konklusif penyelidikan itu juga menunjukkan bahawa negara-negara yang mempunyai hubungan dengan kesatuan soviet yang sudah tidak berfungsi sama sekali hilang daripada senarai dan pangkat mangsa. A baris kod dalam trojan dilaporkan menutup operasi sebaik sahaja ia menyedari bahasa Rusia, Moldova, Kyrgyz, Azerbaijan, Kazakh, Armenia, Tajik atau Uzbekistan. Para penyelidik menyindir kemungkinan a perang siber.
Sumber: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/