Ulepszony trojan atakuje aplikacje bankowe i giełdy kryptowalut

Anna Sutowicz

Złośliwe oprogramowanie GodFather na Androida bierze na cel setki banków i giełd kryptowalut. To ulepszona wersja znanego Trojana.

Złośliwe oprogramowanie bankowe na Androida o nazwie „Ojciec chrzestny” zaatakowało już użytkowników w 16 krajach, także w Polsce. Podejmowało próby kradzieży danych uwierzytelniających konta na ponad 400 witrynach i aplikacjach mobilnych.

GodFather generuje ekrany logowania nakładane na formularze logowania aplikacji bankowych i giełd kryptowalut. Wirus nakłania ofiarę do wprowadzenia swoich danych uwierzytelniających na dobrze spreparowanych stronach phishingowych HTML. Szkodliwe oprogramowanie żąda m.in. dostępu do różnych funkcji i narzędzi. Kiedy ofiara je zatwierdzi, GodFather może przyznać sobie uprawnienia niezbędne do wykonania złośliwego zachowania, np. do wykonywania połączeń, nagrywania ekranu, zapewnienia dostępu do SMS-ów, powiadomień czy kontaktów. Może wysyłać także powiadomienia push, które mają na celu przekierować ofiarę do strony phishingowej.

Po zainstalowaniu, złośliwe oprogramowanie imituje „Google Protect”, standardowe narzędzie bezpieczeństwa dostępne na wszystkich urządzeniach z Androidem. Może również generować fałszywe powiadomienia z aplikacji zainstalowanych na urządzeniu ofiary.

Godfather atakuje aplikacje bankowe i giełdy kryptowalut

Blisko połowa wszystkich aplikacji na celowniku Ojca Chrzestnego (215) to aplikacje bankowe. Większość z nich znajduje się w USA (49), Turcji (31), Hiszpanii (30), Kanadzie (22), Francji (20), Niemczech (19) i Wielkiej Brytanii (17). Na liście jest też 7 polskich banków. Godfather zaatakował także 110 platform wymiany kryptowalut i 94 aplikacje portfeli.

Cele GodFathera - źródło: Group-IB

Trojan został odkryty przez analityków Group-IB. Twierdzą, że jest on następcą Anubisa, czyli niegdyś powszechnie znanego trojana bankowego, który przestał być używany z uwagi na niezdolność do ominięcia nowszych zabezpieczeń Androida. Group-IB wykryła ograniczoną dystrybucję złośliwego oprogramowania w aplikacjach w sklepie Google Play. Jednakże główne kanały dystrybucji nie zostały odkryte, a początkowa metoda infekcji pozostaje w znacznej mierze nieznana.

Komentarze

Ostatnie wiadomości

Telegram usunął te funkcje ze swojej platformy. Pavel Durov posłał władzom pstryczka w nos

W Wenezueli dojdzie do rewolucji? Liderka opozycji nazywa BTC “kołem ratunkowym” jej kraju

Ranking giełd