GodFather Androide-Banking-Trojanisches Pferd, welcher hinaus Benutzer von obig 400 Banking- und Krypto-Apps abzielt
[ad_1]
21. Monat des Winterbeginns 2022Ravie LakshmananMobile Security / Banking-Trojanisches Pferd
Ein Androide-Banking-Trojanisches Pferd, veröffentlicht wie Taufpate wird verwendet, um Benutzer von mehr wie 400 Banking- und Kryptowährungs-Apps in 16 Ländern anzusprechen.
Zusammenhängen 215 Banken, 94 Krypto-Wallet-Versorger und 110 Krypto-Austauschplattformen, die Benutzer unter anderem in den USA, welcher Türkei, Spanien, Italien, Kanada und Kanada bewirten, sagte die in Singapur ansässige Group-IB in einem Nachricht, welcher mit The Hacker News geteilt wurde .
Die Schadsoftware versucht, wie viele Finanztrojaner, die hinaus dasjenige Androide-Umwelt abzielen, Benutzeranmeldeinformationen zu stehlen, während sie überzeugende Overlay-Bildschirme (gleichfalls veröffentlicht wie Web-Fälschungen) generiert, die hinaus Zielanwendungen bereitgestellt werden.
Erstmals von Group-IB im Monat der Sommersonnenwende 2021 entdeckt und publik veröffentlicht gegeben von ThreatFabric im März 2022 packt GodFather gleichfalls native Backdoor-Funktionen, die es ihm geben, die Barrierefreiheits-APIs von Androide zu vergewaltigen, um Videos aufzuzeichnen, Tastenanschläge zu protokollieren, Screenshots aufzunehmen und SMS- und Anrufprotokolle zu vereinen.
Die Auswertung welcher Schadsoftware durch Group-IB hat treu, dass es sich um verschmelzen Nachfolger von Anubis handelt, einem weiteren Banking-Trojanisches Pferd, dessen Quellcode im Januar 2019 in einem Untergrundforum geleakt wurde. a-Tafelgeschirr (MaaS)-Prototyp.
Die Ähnlichkeiten zwischen den beiden Schadsoftware-Familien erstrecken sich hinaus die Methode zum Empfangen welcher Command-and-Control (C2)-Anschrift, die Implementierung von C2-Befehligen und die Web-Fake-, Proxy- und Screen-Capture-Module. Audioaufzeichnungs- und Standortverfolgungsfunktionen wurden jedoch weit.
„Interessanterweise verschont GodFather Benutzer in postsowjetischen Ländern“, sagte Group-IB. „Wenn die Systemeinstellungen des potenziellen Opfers eine welcher Sprachen in dieser Region enthalten, wird welcher Trojanisches Pferd heruntergefahren. Dies könnte darauf hindeuten, dass die Entwickler von GodFather Russisch sprechen.“
Welches GodFather auszeichnet, ist die Tatsache, dass es seine Command-and-Control-Serveradresse (C2) abruft, während es akteurgesteuerte Telegrammkanalbeschreibungen entschlüsselt, die mit welcher Blowfish-Chiffrenummer codiert sind.
Die genaue Vorgehensweise zur Infizierung von Benutzergeräten ist nicht veröffentlicht, obwohl eine Untersuchung welcher Command-and-Control-Unterbau (C2) des Bedrohungsakteurs trojanisierte Dropper-Apps wie verschmelzen potenziellen Verbreitungsvektor aufzeigt.
Dies basiert hinaus einer C2-Anschrift, die mit einer App namens Currency Converter Plus (com.plus.currencyconverter) verknüpft ist, die seitdem Monat der Sommersonnenwende 2022 im Google Play Store gehostet wurde. Die betreffende Softwareanwendungen steht nicht mehr zum Download zur Verfügung.
Ein weiteres von Group-IB untersuchtes Artefakt imitiert den legitimen Google Play Protect-Tätigkeit, welcher beim Start eine fortlaufende Notifizierung erstellt und sein Symbol aus welcher verkettete Liste welcher installierten Anwendungen verbirgt.
Die Ergebnisse kommen, wie Cyble eine Warteschlange von GodFather-Samples entdeckte, die sich wie MYT Müzik-App tarnten und sich an Benutzer in welcher Türkei richteten.
GodFather ist nicht die einzige Androide-Schadsoftware, die hinaus Anubis basiert. Entstehen Juli enthüllte ThreatFabric, dass eine modifizierte Version von Anubis, veröffentlicht wie Falke zielte hinaus russische Benutzer ab, während sie sich wie die staatliche VTB Sparkasse ausgab.
„Dies Aufkommen von GodFather unterstreicht die Fähigkeit von Bedrohungsakteuren, ihre Tools zu behauen und zu updaten, um ihre Wirksamkeit aufrechtzuerhalten, trotz welcher Bemühungen von Anbietern von Schadsoftware-Erkennung und -Prävention, ihre Produkte zu updaten“, sagte Group-IB-Forscher Artem Grischenko.
„Mit einem Tool wie GodFather sind Bedrohungsakteure nur durch ihre Fähigkeit eingeschränkt, überzeugende Webfakes zum Besten von eine bestimmte Softwareanwendungen zu erstellen. Manchmal kann die Fortsetzung wirklich besser sein wie dasjenige Urschrift.“
[ad_2]