Group-IB выявила активность трояна в приложениях банков и криптобирж
Предположительно, разработчиками трояна являются русскоязычные злоумышленники, так как он обходит стороной пользователей из России и СНГ
Аналитики Group-IB, специализирующейся на предотвращении кибератак, зафиксировали активность Android-трояна Godfather, жертвами которого стали более 400 банков, криптовалютных бирж и электронных кошельков. Наибольшая интенсивность атак трояна фиксируется в США, Турции, Испании, Канаде, Франции и Великобритании, при этом он обходит стороной пользователей из России и СНГ, если в их настройках системы есть один из языков этих стран.
«Предположительно, разработчиками Godfather являются русскоязычные злоумышленники», — подчеркнула пресс-служба Group-IB.
В основе Godfather, похищающего учетные данные клиентов банков и криптобирж, лежит одна из версий хорошо известного банковского трояна Anubis, возможности которого во многом были обезврежены обновленным Android. Впервые специалисты Group-IB заметили троян Godfather в 2021 году, осенью 2022-го он вернулся с усилиенными механизмами противодействия обнаружению средствами антифрода.
Обычно загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона, якобы запуская на 30 секунд стандартное приложение Google Protect. За это время троян устанавливал себя в автозапуск. И как только пользователь запускал приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему фейковые html-страницы, внесенные на которые данные, в том числе логины и пароли, отправлялись злоумышленникам.
Для противодействия новому трояну эксперты Group-IB рекомендуют в том числе проверять наличие обновлений на мобильном устройстве, так как более новые версии Android менее уязвимы к подобным атакам, не загружать приложения со сторонних источников, кроме Google Play, и всегда проверять, какие права приложение требует для своей работы (в случае с Godfather все его коммуникации с сервером выполняются только после выдачи доступа к AccessibilityService).