Android-троян Godfather атаковал более 400 банков и криптосервисов.

В период с июня 2021 г. по октябрь 2022 г. снова появился Android-троян, который атаковал более 400 финансовых компаний. По мнению исследователей Group-IB, банковский троян Godfather является преемником Anubis.

По состоянию на октябрь 2022 года Godfather атаковал более 400 организаций из 16 стран, включая 215 банков, 94 криптокошелька и 110 криптобирж. Целевые организации базируются в США, Турции, Испании, Канаде, Германии, Франции и Великобритании, в то время как страны из региона советской эпохи остаются в стороне.

«Если системные настройки потенциальной жертвы включают один из языков этого региона, троянец отключается. Это может свидетельствовать о том, что разработчики GodFather являются русскоязычными», — отметили в Group-IB. Языки, которые Крестный отец исключает из атаки, это русский, азербайджанский, армянский, белорусский, казахский, киргизский, молдавский, узбекский и таджикский.

Godfather — банковский троян, предназначенный для кражи учетных данных для банковских операций и обмена криптовалютами. Это выходит за рамки возможностей Anubis, который больше не используется из-за обновлений безопасности в экосистеме Android. В середине 2022 года вредоносные операции с использованием Godfather какое-то время бездействовали. По оценке Group-IB, именно тогда она получила обновления.

Godfather делится своей кодовой базой с Anubis (утечка в 2019 году). Тем не менее, в отличие от последнего, первый оснащен коммуникационными обновлениями для управления и контроля (C2), модифицированным алгоритмом шифрования трафика, OTP Google Authenticator и новым модулем для управления соединениями виртуальных сетевых вычислений (VNC).

Троянец также может записывать целевой экран, запускать кейлоггеры, обходить двухфакторные уведомления путем эксфильтрации push-уведомлений и переадресации вызовов, выполнять USSD-запросы, запускать прокси-серверы, отправлять SMS с зараженных устройств и устанавливать соединения WebSocket.

Godfather также может отправлять поддельные уведомления на зараженное устройство. В зараженных Android-приложениях вредоносное ПО отображает поддельные HTML-страницы, наложенные на легитимные приложения. «Поддельные страницы, которые Godfather может накладывать на зараженные устройства, появляются после того, как пользователи нажимают на ложные уведомления или открывают законные приложения, на которые нацелен Godfather», — пояснила Grop-IB.

Одно из таких приложений, троянизированных с помощью Godfather, имитирует MYT Müzik, популярное музыкальное приложение в Турции с 10 миллионами загрузок, сообщает Cyble.
Открывает новое окно. Вредоносное приложение имеет тот же логотип и имя, что и легитимное.

Однако Godfather не имеет шифрования файлов и не может записывать аудио или получать информацию GPS, как Anubis.

Исследователи считают, что Godfather распространяется через вредоносные приложения-загрузчики, размещенные в Google Play. Запуск вредоносной программы создает у пользователя впечатление, что Google Play Protect работает, но на самом деле это всего лишь эмуляция.

Вместо этого вредоносное ПО добивается устойчивости, запрашивает AccessibilityService (используется пользователями с ограниченными возможностями), создает закрепленное уведомление и скрывает свой значок из списка установленных приложений.

«Имитируя Google Protect, Godfather может легко оставаться незамеченным на зараженных устройствах. Невольные пользователи считают, что их защищает сервис Android, но на самом деле злоумышленники получают доступ к их банковским и финансовым порталам», — добавили в Group-IB.

«Хотя у Group-IB нет точных данных о сумме денег, украденных операторами «Крестного отца», методы, используемые злоумышленниками, вызывают беспокойство».