Zlonamjerni Android softver krade lozinke za Internet bankarstvo
GodFather (“Kum”), zlonamjerni Android softver se koristi za zloupotrebu preko 400 aplikacija za Internet bankarstvo i kriptovalute na području 16 zemalja. Smatra nasljednikom bankarskog trojanca Anubis, čiji je izvorni kôd objavljen na Internetu 2019. godine, a bio je veoma popularan dok nije izgubio mogućnost izbjegavanja Android sistema zaštite.
Malware Infection by Blogtrepreneur
Ovaj zlonamjerni softver cilja 215 banki, 94 provajdera kriptovaluta i 110 platformi za razmjenu kriptovaluta korisnika koji se nalaze u Sjedinjenim Državama, Turskoj, Španiji, Kanadi, Francuskoj, Njemačkoj i Velikoj Britaniji.
Konkretno riječ je o trojan Android zlonamjernom softveru prvobitno otkrivenom od strane sigurnosnih istraživača kompanije ThreatFabric u martu 2022. godine. Od tada su urađene ogromne nadogradnje i poboljšanja kôda, uključujući mogućnosti snimanja videa, snimanja otkucanih tipki, hvatanje snimaka ekrana, čitanje SMS poruka i liste poziva, koje je sada analizirala sigurnosna kompanija Group-IB.
Distribucija se odvija ograničeno preko aplikacija u Google prodavnici, ali glavni metod distribucije još uvijek nije poznat. Jednom instaliran, GodFather počinje da oponaša Google Protect sigurnosni alat koji se nalazi na Android uređajima. Ide toliko daleko, da korisnicima oponaša procese skeniranja uređaja, predstavljajući se kao legitimna aplikacija kako bi dobio pristup Accessibility servisu. Kada korisnik odobri pristup ovom servisu, zlonamjerni softver sebi daje sve potrebne privilegije za obavljanje zlonamjernih radnji na uređaju.
Malicious virus; Source: Wallpapercave
Ovako dobijene privilegije omogućavaju zlonamjernom softveru da onemogući korisnika da ga ukloni sa uređaja, preuzimanje kôdva iz aplikacije Google Authenticator za verifikaciju u dva koraka, izvršavanje komandi, krađu PIN-ova i lozinki.
Zanimljivo je da GodFather radi provjeru regiona i ako otkrije sistemska podešavanja jezika uređaja za region bivšeg Sovjetskog saveza – ruski, azerbejdžanski, jermenski, beloruski, kazahstanski, kirgiski, moldavski, uzbekistanski ili tadžikistanski jezik, zlonamjerni softver se gasi. Ovo navodi sigurnosne istraživače na zaključak da su osobe koje stoje iza ovog trojanca sa ruskog govornog područja.
Kako bi se zaštitili, potrebno je da korisnici preuzimaju aplikacije isključivo iz Google prodavnice, redovno ažuriraju svoje uređaje, koriste antivirusni softver, budu sigurni da je Play Protect zaštita aktivna i da na uređaju imaju što manje instaliranih aplikacija.
