22/12/22
Group-IB зафиксировала активность банковского Android-трояна Godfather, атакующего пользователей популярных финансовых сервисов.
Как отмечается в исследовании, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу.
«Предположительно, разработчиками Godfather являются русскоязычные злоумышленники», — сообщили в Group-IB.
Впервые специалисты Group-IB заметили троян Godfather в 2021 году, осенью 2022-го он вернулся, уже с измененным функционалом, пишут в Securitylab.
В основе Godfather, похищающего учетные данные клиентов банков и криптобирж, лежит одна из версий банковского трояна Anubis. Исходный код Anubis был взят за основу разработчиками Godfather, его модернизировали под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.
По данным Group-IB, загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона, якобы запуская на 30 секунд стандартное приложение Google Protect. Однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.
В это же время Godfather устанавливал себя в автозапуск, скрывал иконку из списка установленных приложений и получал права к AccessibilityService.
Как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему webfake’и (отображаемые поверх легитимных приложений html-страницы). Все введенные в эти страницы данные, в том числе логины и пароли — отправлялись злоумышленникам. Одна из особенностей Godfather в том, что его командный сервер находится в описании Telegram-канала (техника получения С2 адреса из Telegram-канала ранее использовалась в некоторых версиях Anubis).
