Вирус Godfather массово атакует пользователей Android
- В сети появилась новая угроза под названием Godfather
- Это троян, нацеленный на пользователей смартфонов с ОС Android
- Он крадет данные, делает снимки экрана и маскируется под официальный сервис Google
Аналитики портала Group-IB зафиксировали всплеск количества случаев кражи пользовательских данных посредством трояна Godfather (Крестный отец). Это вредоносное ПО маскируется под службы Google и сторонние приложения, чтобы выкачивать информацию для доступа к банковским платформам и крипто-биржам.
Впервые эта угроза появилась в июне 2021. Но массовое распространение троян получил в начале 2022. Аналитики считают, что это угроза класса MaaS (вредоносное ПО как услуга).
Сфера охвата Godfather
Случаи атаки этого трояна зафиксированы на территории 16 стран. По большей части это США (49 прецедентов), Турция (31) и Испания (30):
Под удар попали 419 компаний, из которых 25,7% — это криптобиржи, еще 22,2% — кастодиальные сервисы, в том числе операторы кошельков.
Примечательно, что троян реагирует на язык системы устройства. Если у пользователя установлен русский, белорусский, абхазский, киргизский, молдавский или узбекский, то ПО просто прекращает свою работу.
Принцип действия
Как и большинство угроз типа MaaS, Godfather концентрируется на том, что выуживает данные пользователя. В большинстве случаев он имитирует сервис «Google Protect», стандартный протокол безопасности, который имеется на большинстве устройств с ОС Android.
В Турции троян маскируется под приложение MYT Müzik. ПО даже имитирует функционал оригинала, чтобы притупить бдительность пользователя.
Как только владелец устройства дает все необходимые разрешения, думая, что это служба защиты, троян начинает собирать его данные. К таковым относятся SMS, уведомления, файлы из бэкапа и буфера, контакты, записи звонков, введенные данные и многое другое.
В некоторых случаях Godfather создавал так называемый бэкдор. Это дополнительный «слой» поверх интерфейса банковского приложения, клиента крипто-биржи или кошелька. Стоит только ввести свои данные в поддельную форму, и пользователь лишался всех сбережений.
Схожесть с Anubis
Код этого вируса «слили» в сеть в 2019. Аналитики Group-IB считают, что Godfather мог разработать тот же человек, либо этот троян является новой поделкой на базе старой.
Между ними есть определенное сходство. Это касается модуля записи экрана смартфона и распространения запросов C2. Так или иначе, это серьезная угроза, нацеленная на пользователей Android по всему миру.
Ранее мы рассказывали об интересном вирусе Water Labbu. Он примечателен тем, что ворует крипту у мошенников, а не обычных юзеров.