Verdienen Sie Geld mit Ihren Tech-Blogs, Gadgets und Tipps

Android-haittaohjelma “Godfather” kohdistuu 419 yritykseen 16 maassa

Huomautus: Seuraava artikkeli auttaa sinua: Godfather Android -haittaohjelma kohdistuu 419 yritykseen 16 maassa

Kuva: Rafapress / Shutterstock.com

Kummisetä Android-haittaohjelma, joka perustuu jo pahamaineiseen Anubis-haittaohjelmaan, kohdistuu käyttäjiin 16 maassa ja varastaa jopa 419 pankkisivuston, kryptolompakon ja pörssin sekä muiden rahoituspalvelujen tunnistetiedot.

Lukuun ottamatta keskittymistä rahoituspalveluihin Cyble raportteja että haittaohjelma kohdistuu myös suosittuun musiikkisovellukseen MYT Muzik Turkissa varastaakseen laitetietoja, kuten tekstiviestejä, asennettujen sovellusten tietoja ja muita perustietoja. Haittaohjelma voi myös etäohjata laitteen näyttöä, reitittää puhelut uhrin numerosta ja syöttää pankkien URL-osoitteita.

Threatfabric-tutkijat löysivät haittaohjelman ensimmäisen kerran maaliskuussa 2021, mutta sitä on päivitetty massiivisesti pysymään kuukausittaisten Android-tietoturvapäivitysten mukana. Jotain, joka sai hänen edeltäjänsä Anubisin vanhentumaan.

Asianmukaisesti Viimeisin raportti Group-IB:ltä, vain pieni osa ensimmäisistä tartunnoista tuli Google Play Kaupan kautta. Tutkijoilla ei ole vielä selvyyttä tärkeimmistä jakelukanavista; Siksi alkuperäinen tartuntatapa on tuntematon.

He tietävät kuitenkin, että haittaohjelma kohdistuu jopa 215 pankkisovellukseen, joista suurin osa on keskittynyt seuraaviin maihin:

  • Yhdysvallat: 49
  • Turkki: 31
  • Espanja: 30
  • Kanada: 22
  • Ranska: 20
  • Saksa: 19
  • Iso-Britannia: 17

Pankkisovellusten lisäksi haittaohjelma kohdistuu 110 kryptovaluuttapörssiin ja 94 kryptovaluuttalompakkosovellukseen.

Alueet ja luokat, joissa Godfather on levinnyt vuodesta 2021 lähtien. | Lähde: Group-IB

Ennen haitallisen toiminnan aloittamista haittaohjelma tarkistaa laitteen kielen. Haitallista toimintaa ei tapahdu, jos kohdelaite toimii venäjän, azerbaidžanin, armenian, valkovenäläisen, kazakstan, kirgisian, moldovan, uzbekistan tai tadžikin kielellä.

Tämä on vahva osoitus siitä, että haittaohjelmien tekijät saattavat olla venäläisiä. Lisäksi haittaohjelma tarkistaa myös laitteen kontekstin, onko se käynnistetty emulaattorissa. Tässä tapauksessa myös haitallinen toiminta lopetetaan.

Uutisissa: Haitallinen PyPI-paketti, joka naamioituu SentinelOne SDK:ksi

Asennettaessa mikä tahansa Godfatheria käyttävä sovellus esiintyy Google Play Protectina ja yrittää “tarkistaa” laitteen haitallisen toiminnan varalta. Tämä tarkistus on itse asiassa sovellus, joka pyytää käyttäjältä esteettömyyspalvelun käyttöoikeuksia. Kun nämä luvat on myönnetty, sovellus voi myöntää loput käyttöoikeudet itselleen.

Lisäksi näitä käyttöoikeuksia käytetään edelleen väärin sovelluksen asentamisen estämiseksi. Kun Kummisetä on täysin toimiva, sillä on pääsy uhrin tekstiviesteihin, ilmoituksiin, puhelulokeihin, näyttötallenteisiin, yhteystietoihin, ulkoiseen tallennustilaan, laitteen tilaan ja jopa Google Authenticatorin OTP:ihin.

Lopuksi “skannaus” poimii luettelon kohdelaitteeseen asennetuista Sovelluksista ja lähettää sen takaisin Command and Control (C2) -palvelimelle, joka hakee luettelon kyseisten sovellusten väärennetyistä HTML-kirjautumislomakkeista. Ne asetetaan sitten olemassa olevan sovelluksen päälle käyttäjän tunnistetietojen varastamiseksi.

Android-haittaohjelma Android-haittaohjelma Godfather-haittaohjelman verkkoinfrastruktuuri. | Lähde: Group-IB

Kaikissa sovelluksissa, joissa C2:lla ei ole väärennettyä kirjautumissivua, se yksinkertaisesti tallentaa käyttäjän näytön kirjautumistietojen tallentamiseksi. Lisäksi se voi myös luoda väärennettyjä ilmoituksia uhrin puhelimeen asennetuista sovelluksista rohkaistakseen häntä avaamaan sovellus ja kirjautumaan sisään ilman, että hänen tarvitsee odottaa, että käyttäjä avaa sovelluksen.

Lopuksi C2-palvelin voi myös antaa haittaohjelmille komentoja, jotka voidaan suorittaa järjestelmänvalvojan oikeuksilla tartunnan saaneessa laitteessa. Nämä sisältävät:

  • Suorita USSD-pyynnöt
  • Lähetä tekstiviesti tartunnan saaneesta laitteesta
  • Lähetä tekstiviesti kaikille tartunnan saaneen laitteen yhteyshenkilöille (ei käytössä uusimmassa versiossa)
  • Käynnistä C2:n määrittämä sovellus
  • Näytä push-ilmoitukset, jotka johtavat väärille kirjautumissivuille
  • Tyhjennä kaikkien C2:n määrittämien sovellusten välimuisti
  • Ota SOCKS5-välityspalvelin käyttöön tai poista se käytöstä
  • Ota käyttöön tai poista käytöstä soitonsiirto C2:n määrittelemään numeroon
  • Avaa mikä tahansa verkkosivusto
  • Itsetyhjennys

Group-IB:n tutkijoiden mukaan haittaohjelma näyttää perustuvan Anubisiin, toiseen pankkitroijalaiseen, jonka lähdekoodi vuoti vuonna 2019. Ajan myötä, kun Android-järjestelmät muuttuivat kestävämmiksi ja tunnistusmekanismit kehittyivät entistä kehittyneemmiksi, Anubis vanhentui.

Pohjimmiltaan Godfatherin kehittäjät aloittivat Anubiksen lähdekoodin ja modernisoivat sen Androidin uudempia versioita varten. Vaikka molemmilla troijalaisilla on sama koodikanta, C2-viestintäprotokollaa ja -Ominaisuuksia sekä niiden toteutusta on muutettu Godfatherissa, mikä luokittelee sen Anubiksen haarukkaan.

Uutisissa: Intian Premiership 2023 alkaa 5. tammikuuta 2023; Ilmoittautumiset auki