Inilalarawan ng Singapore-based research Group-IB ang Godfather monster malware na ginamit upang i-target ang higit sa 400 fintech application, crypto exchange, at wallet sa mahigit 16 na bansa.
Sa isang detalyadong ulat, Ipinapakita ng Group-IB na ang mga hacker ay maaaring magnakaw ng impormasyon sa pag-log in para sa online banking at iba pa financial services gamit ang Godfather malware, na nagbibigay-daan sa kanila na alisin ang laman ng mga account ng mga biktima. Ang mga institusyong pampinansyal sa United Kingdom ang pinakamatinding tinamaan sa 400 biktima, na may mga pag-atake na naganap sa loob ng huling tatlong buwan.
Bawat Group-IB, kalahati ng mga target ay mga institusyong pinansyal. 17 ay matatagpuan sa UK, 49 sa US, 31 sa Turkey, at 30 sa Spain. Ang natitirang mga biktima ay nasa Canada, France, Germany, Italy, at Poland.
Godfather trojan: kung paano ito gumagana
Ang Android banking Trojan ay isang na-renew na kahalili ng Anubis, na nagdulot din ng maraming pinsala sa ecosystem noong 2019. Ang pagkakatulad ng dalawang malware na ito ay ang kanilang mga paraan ng pagkuha ng C2 address, pagsasagawa ng mga C2 command, at paggamit ng mga module para sa screen makuha, proxy, at web spoofing. Gayunpaman, ang kakayahang mag-record ng audio, subaybayan ang iyong lokasyon, at i-bypass ang 2-factor na pagpapatotoo ay magagamit lamang sa Godfather malware.
Nakatago ang Godfather malware sa mga Android application na itinatampok sa Play Store. Ang malisyosong code ng payload ay nakatago na kahawig ng Google Protect. Ini-scan ng serbisyong ito ang mga app para sa mga posibleng mapanganib na gawi. Matapos mailunsad ng isang user, ginagaya ng malware ang isang tunay na programa ng Google. Ang isang animation ay nagpapakita ng "Google protect," ngunit wala.
Sa pag-install ng vector app mula sa Play Store, ang malware mga pahintulot mismo sa sistema ng biktima. Nagtatatag ito ng pakikipag-ugnayan sa mga command at control server nito, na nagpapadala ng lahat ng data ng biktima. Maaaring mapansin lamang ng mga target ang mga pag-unlad na ito kapag nawalan sila ng pondo at nahihirapang bawiin o huwag paganahin ang pinahintulutang aplikasyon.
Sinabi ni Artem Grischenko, ang junior malware analyst sa Group-IB, na ang mga ugnayan sa pagitan ni Godfather at Annubis ay nagpapahiwatig na ang mga cybercriminal ay lumalaki sa pagiging sopistikado. Kailangang i-update ng mga developer at manager ang kanilang imprastraktura dahil kung sino man ang nasa likod ng Ninong Troyano may magagawa pa.
Ang konklusyong bahagi ng pananaliksik ay nagpapakita rin na ang mga bansang may kaugnayan sa namatay na unyon ng soviet ay ganap na nawawala sa listahan at ranggo ng mga biktima. A linya ng code sa trojan ay iniulat na nagsasara ng mga operasyon sa sandaling mapansin nito ang mga wikang Russian, Moldovan, Kyrgyz, Azerbaijani, Kazakh, Armenian, Tajik o Uzbek. Ang mga mananaliksik ay nagpapahiwatig ng posibilidad ng a digmaang cyber.
Pinagmulan: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/