Grupul-IB de cercetare cu sediul în Singapore descrie malware-ul monstru Naș utilizat pentru a viza peste 400 de aplicații fintech, schimburi criptografice și portofele în peste 16 țări.
Într-un mod detaliat raportează, Group-IB demonstrează că hackerii pot fura informații de conectare pentru servicii bancare online și altele Servicii financiare folosind malware-ul Godfather, permițându-le să golească conturile victimelor. Instituțiile financiare din Regatul Unit sunt cele mai afectate dintre cele 400 de victime, atacurile au avut loc în ultimele trei luni.
Pe Grupul-IB, jumătate dintre ținte au fost instituții financiare. 17 au fost localizate în Marea Britanie, 49 în SUA, 31 în Turcia și 30 în Spania. Victimele rămase sunt în Canada, Franța, Germania, Italia și Polonia.
Nașul troian: cum funcționează
Troianul bancar Android este un succesor reînnoit al lui Anubis, care a provocat și multe daune ecosistemului în 2019. Asemănările dintre aceste două programe malware sunt metodele lor de obținere a adresei C2, efectuarea comenzilor C2 și utilizarea modulelor pentru ecran. captură, împuternicit, și falsificarea web. Cu toate acestea, capacitatea de a înregistra audio, de a vă urmări locația și de a ocoli autentificarea cu doi factori este disponibilă numai pentru programul malware Godfather.
Programul malware Godfather este ascuns în aplicațiile Android prezentate în Magazinul Play. Codul rău intenționat al încărcăturii utile este deghizat pentru a semăna cu Google Protect. Acest serviciu scanează aplicațiile pentru comportamente posibil periculoase. După ce a fost lansat de către un utilizator, malware-ul imită un program Google autentic. O animație arată „Protecție Google”, dar nu există.
La instalarea aplicației vectoriale din Play Store, malware-ul permisiuni însuși în sistemul victimei. Stabilește contactul cu serverul său de comenzi și control, trimițând toate datele victimei. Țintele pot observa aceste evoluții numai după ce pierd fonduri și le este greu să retragă sau să dezactiveze aplicația autorizată.
Artem Grischenko, analist junior de malware la Group-IB, a spus că legăturile dintre Nașul și Annubis indică faptul că infractorii cibernetici cresc în sofisticare. Este nevoie ca dezvoltatorii și managerii să-și actualizeze infrastructura pentru că oricine se află în spatele Nașului troian mai poate face mai mult.
Partea concludentă a cercetării arată, de asemenea, că țările cu legături cu uniunea sovietică defunctă lipsesc cu desăvârșire de pe lista și rangul victimelor. A linie de cod se pare că troianul închide operațiunile odată ce observă limbile rusă, moldovenească, kârgâză, azeră, kazahă, armeană, tadjică sau uzbecă. Cercetătorii insinuează posibilitatea a război cibernetic.
Sursa: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/