Зловреден софтуер, наречен „Кръстникът“, е насочен към потребителите на крипто приложения и други услуги, според изявление на германския регулатор BaFin на Януари 9.
BaFin каза, че Godfather засяга около 400 приложения за криптовалута и банкиране. Зловреден софтуер е насочен по-конкретно към 110 крипто борси, 94 крипто портфейла и 215 банкови приложения, според отделен доклад от Група IB през декември.
Godfather краде данни за влизане от потребителите, като показва фалшиви прозорци за влизане върху истинските, като по този начин мами потребителите да въведат данните си в наблюдаван формуляр.
Godfather работи само на устройства с Android. Той имитира Google Protect, за да се утвърди. След това фалшиво сканира изтеглянията от Play Store за зловреден софтуер и се скрива от списъка с инсталирани приложения. Като имитира Google Protect, Godfather може също така да използва AccessibilityService, за да получи допълнително достъп до устройството и да предаде данни на нападателите.
Godfather специално се опитва да имитира приложения, инсталирани на устройството на потребителя. Въпреки това, той може също да записва екрана, да стартира кийлогъри, да пренасочва повиквания, съдържащи 2FA кодове, да изпраща SMS съобщения и да използва различни други стратегии.
Въпреки че днес Германия предупреди за атаки на Кръстника, атаките не са изолирани за тази страна. IB Group каза в доклада си, че Godfather е насочен към потребители в 16 страни, включително САЩ, Турция, Испания, Канада, Франция и Обединеното кралство. Между другото, устройства, настроени да използват определени езици, включително руски, не могат да стартират зловреден софтуер.
Група IB предполага, че Godfather се разпространява частично чрез злонамерено приложение на Google Play. Изследователската група по сигурността обаче каза, че има цялостна „липса на яснота“ за това как този конкретен зловреден софтуер заразява устройства.
Фишинг зловреден софтуер е доста често срещан. Един подобен зловреден софтуер, наречен Крадецът на Марс се появи през 2022 г., а друг т.нар миеща мечка е видян през 2021 г.
Въпреки това, фишингът може да бъде осъществен без заразяване на потребителските устройства. Такива атаки могат да се извършат единствено чрез създаване на фалшиви имейли и уебсайтове, които приличат на истинските им двойници - разчитайки на човешка грешка, а не на компрометирани устройства.
Източник: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/