Ngày 21 tháng 12 năm 2022Ravie Lakshmanan Trojan bảo mật di động / ngân hàng
Một trojan ngân hàng Android được gọi là bố già đang được sử dụng để nhắm mục tiêu người dùng của hơn 400 ứng dụng ngân hàng và tiền điện tử trải rộng trên 16 quốc gia.
Điều này bao gồm 215 ngân hàng, 94 nhà cung cấp ví tiền điện tử và 110 nền tảng trao đổi tiền điện tử phục vụ người dùng ở Hoa Kỳ, Thổ Nhĩ Kỳ, Tây Ban Nha, Ý, Canada và Canada, trong số những quốc gia khác, Group-IB có trụ sở tại Singapore cho biết trong một báo cáo được chia sẻ với The Hacker News .
Phần mềm độc hại, giống như nhiều trojan tài chính nhắm mục tiêu vào hệ sinh thái Android, cố gắng đánh cắp thông tin đăng nhập của người dùng bằng cách tạo màn hình lớp phủ thuyết phục (còn gọi là trang web giả mạo) được phân phát trên các ứng dụng mục tiêu.
Lần đầu tiên được Group-IB phát hiện vào tháng 6 năm 2021 và được ThreatFabric tiết lộ công khai vào tháng 3 năm 2022, GodFather cũng tích hợp các tính năng cửa sau gốc cho phép nó lạm dụng API trợ năng của Android để quay video, ghi lại các lần nhấn phím, chụp ảnh màn hình cũng như thu thập SMS và nhật ký cuộc gọi.
Phân tích của Group-IB về phần mềm độc hại đã tiết lộ rằng nó là phần mềm kế thừa của Anubis, một trojan ngân hàng khác đã bị rò rỉ mã nguồn trong một diễn đàn ngầm vào tháng 1 năm 2019. Nó cũng được cho là đã được phân phối cho các tác nhân đe dọa khác thông qua phần mềm độc hại-as- mô hình dịch vụ (MaaS).
Sự giống nhau giữa hai họ phần mềm độc hại mở rộng đến phương thức nhận địa chỉ lệnh và kiểm soát (C2), triển khai các lệnh C2 và các mô-đun giả mạo web, proxy và chụp màn hình. Tuy nhiên, tính năng ghi âm và theo dõi vị trí đã bị loại bỏ.
“Thật thú vị, GodFather bỏ qua người dùng ở các nước hậu Xô Viết,” Group-IB cho biết. “Nếu tùy chọn hệ thống của nạn nhân tiềm năng bao gồm một trong các ngôn ngữ ở khu vực đó, thì Trojan sẽ tắt. Điều này có thể gợi ý rằng các nhà phát triển của GodFather là người nói tiếng Nga.”
Điều khiến GodFather nổi bật là thực tế là nó truy xuất địa chỉ máy chủ chỉ huy và kiểm soát (C2) bằng cách giải mã các mô tả kênh Telegram do diễn viên kiểm soát được mã hóa bằng mật mã Blowfish.
Phương thức hoạt động chính xác được sử dụng để lây nhiễm các thiết bị của người dùng vẫn chưa được biết, mặc dù việc kiểm tra cơ sở hạ tầng chỉ huy và kiểm soát (C2) của tác nhân đe dọa cho thấy các ứng dụng nhỏ giọt bị trojan hóa như một vectơ phân phối tiềm năng.
Điều này dựa trên một địa chỉ C2 được liên kết với một ứng dụng có tên là Công cụ chuyển đổi tiền tệ Plus (com.plus.currencyconverter) đã được lưu trữ trên Cửa hàng Google Play kể từ tháng 6 năm 2022. Ứng dụng được đề cập không còn có sẵn để tải xuống.
Một vật phẩm khác được kiểm tra bởi Group-IB mạo danh dịch vụ Google Play Protect hợp pháp, khi được khởi chạy, sẽ tạo một thông báo liên tục và ẩn biểu tượng của nó khỏi danh sách các ứng dụng đã cài đặt.
Những phát hiện này được đưa ra khi Cyble phát hiện ra một số mẫu GodFather giả dạng ứng dụng MYT Müzik nhắm đến người dùng ở Thổ Nhĩ Kỳ.
GodFather không phải là phần mềm độc hại Android duy nhất dựa trên Anubis. Đầu tháng 7 này, ThreatFabric tiết lộ rằng một phiên bản sửa đổi của Anubis được gọi là Falcon nhắm mục tiêu người dùng Nga bằng cách mạo danh Ngân hàng VTB thuộc sở hữu nhà nước.
Nhà nghiên cứu Artem Grischenko của Group-IB cho biết: “Sự xuất hiện của GodFather nhấn mạnh khả năng của các tác nhân đe dọa trong việc chỉnh sửa và cập nhật các công cụ của họ để duy trì hiệu quả của chúng bất chấp những nỗ lực của các nhà cung cấp dịch vụ phát hiện và ngăn chặn phần mềm độc hại nhằm cập nhật sản phẩm của họ”.
“Với một công cụ như GodFather, những kẻ đe dọa chỉ bị giới hạn bởi khả năng tạo trang web giả thuyết phục cho một ứng dụng cụ thể. Đôi khi, phần tiếp theo thực sự có thể tốt hơn phần gốc.”
