Вірус Godfather масово атакує користувачів Android

• У мережі з’явилася нова загроза під назвою Godfather
• Це троян, націлений на користувачів смартфонів з ОС Android
• Він краде дані, робить знімки екрана і маскується під офіційний сервіс Google

Аналітики порталу Group-IB зафіксували сплеск кількості випадків крадіжки користувацьких даних за допомогою трояна Godfather (Хрещений батько). Це шкідливе ПЗ маскується під служби Google і сторонні додатки, щоб викачувати інформацію для доступу до банківських платформ і крипто-бірж.

Уперше ця загроза з’явилася в червні 2021. Але масового поширення троян набув на початку 2022 року. Аналітики вважають, що це загроза класу MaaS (шкідливе ПЗ як послуга).

Сфера охоплення Godfather

Випадки атаки цього трояна зафіксовано на території 16 країн. Здебільшого це США (49 прецедентів), Туреччина (31) та Іспанія (30):

Під удар потрапили 419 компаній, з яких 25,7% – це криптобіржі, ще 22,2% – кастодіальні сервіси, зокрема оператори гаманців.

Примітно, що троян реагує на мову системи пристрою. Якщо у користувача встановлено російську, білоруську, абхазьку, киргизьку, молдавську або узбецьку, то ПЗ просто припиняє свою роботу.

Принцип дії

Як і більшість загроз типу MaaS, Godfather концентрується на тому, що вивуджує дані користувача. У більшості випадків він імітує сервіс «Google Protect», стандартний протокол безпеки, який є на більшості пристроїв з ОС Android.

У Туреччині троян маскується під додаток MYT Müzik. ПЗ навіть імітує функціонал оригіналу, щоб притупити пильність користувача.

Щойно власник пристрою дає всі необхідні дозволи, думаючи, що це служба захисту, троян починає збирати його дані. До таких належать SMS, повідомлення, файли з бекапа і буфера, контакти, записи дзвінків, введені дані та багато іншого.

У деяких випадках Godfather створював так званий бекдор. Це додатковий «шар» поверх інтерфейсу банківського додатка, клієнта крипто-біржі або гаманця. Варто лише ввести свої дані в підроблену форму, і користувач позбавлявся всіх заощаджень.

Схожість з Anubis

Код цього вірусу «злили» в мережу у 2019. Аналітики Group-IB вважають, що Godfather могла розробити та сама людина, або цей троян є новою розробкою на базі старої.

Між ними є певна схожість. Це стосується модуля запису екрана смартфона і поширення запитів C2. Так чи інакше, це серйозна загроза, націлена на користувачів Android по всьому світу.

Раніше ми розповідали про цікавий вірус Water Labbu. Він примітний тим, що краде крипту у шахраїв, а не звичайних користувачів.