El grupo de investigación IB, con sede en Singapur, describe el monstruo malicioso Godfather utilizado para atacar más de 400 aplicaciones fintech, criptointercambios y billeteras en más de 16 países.
En un detallado reporte, Group-IB demuestra que los piratas informáticos pueden robar información de inicio de sesión para la banca en línea y otros servicios financieros usando el malware Godfather, lo que les permite vaciar las cuentas de las víctimas. Las instituciones financieras del Reino Unido son las más afectadas entre las 400 víctimas, con ataques ocurridos en los últimos tres meses.
Según Group-IB, la mitad de los objetivos eran instituciones financieras. 17 estaban ubicados en el Reino Unido, 49 en los EE. UU., 31 en Turquía y 30 en España. Las víctimas restantes se encuentran en Canadá, Francia, Alemania, Italia y Polonia.
Troyano padrino: cómo funciona
El troyano bancario de Android es un sucesor renovado de Anubis, que también causó mucho daño al ecosistema en 2019. Las similitudes entre estos dos malware son sus métodos para obtener la dirección C2, ejecutar comandos C2 y usar los módulos para la pantalla. captura, apoderadoy suplantación de identidad web. Sin embargo, la capacidad de grabar audio, rastrear su ubicación y omitir la autenticación de dos factores solo está disponible en el malware Godfather.
El malware Godfather está oculto en las aplicaciones de Android que aparecen en Play Store. El código malicioso de la carga útil está disfrazado para parecerse a Google Protect. Este servicio analiza las aplicaciones en busca de posibles comportamientos peligrosos. Después de ser lanzado por un usuario, el malware imita un programa genuino de Google. Una animación muestra "Google protect", pero no hay ninguno.
Al instalar la aplicación de vectores de Play Store, el malware permisos en el sistema de la víctima. Establece contacto con su servidor de mando y control, enviando todos los datos de la víctima. Los objetivos solo pueden notar estos desarrollos una vez que pierden fondos y les resulta difícil retirar o deshabilitar la aplicación autorizada.
Artem Grischenko, analista junior de malware en Group-IB, dijo que los lazos entre Godfather y Annubis indican que los ciberdelincuentes están creciendo en sofisticación. Existe la necesidad de que los desarrolladores y administradores actualicen su infraestructura porque quienquiera que esté detrás del Padrino troyano todavía puede hacer más.
La parte concluyente de la investigación también muestra que los países con vínculos con la extinta Unión Soviética están completamente ausentes de la lista y el rango de víctimas. A línea de código en el troyano, según se informa, cierra las operaciones una vez que detecta los idiomas ruso, moldavo, kirguís, azerbaiyano, kazajo, armenio, tayiko o uzbeko. Los investigadores están insinuando la posibilidad de una guerra cibernética.
Fuente: https://crypto.news/android-trojan-targets-over-400-apps-incluyendo-crypto-and-fintech/