Birden fazla siber güvenlik firması, kurbanın banka ve kripto para hesaplarını hedef aldığı tespit edilen bir Android bankacılık kötü amaçlı yazılımı olan Godfather’ın varlığını doğruladı.
Group-IB, ThreatFabric ve Cyble’daki uzmanların tümü yakın zamanda, kötü amaçlı yazılımın meşru bankacılık ve kripto para birimi uygulamalarını (borsalar, cüzdanlar ve benzeri) üst üste bindirerek oturum açma verilerini çalmaya çalıştığını gören Godfather, hedefleri ve metodolojileri hakkında rapor verdi.
Grup, Godfather’ın çoğu ABD (49), Türkiye (31), İspanya (30), Kanada (22), Fransa (20), Almanya (19) olmak üzere 400’den fazla farklı kuruluşu hedef aldığını tespit etti. ve Birleşik Krallık (17).
Çoklu enfeksiyon vektörleri
Dahası, kötü amaçlı yazılım bulaştığı uç noktayı analiz eder ve cihaz dilinin Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovaca, Özbekçe veya Tacikçe olduğunu belirlerse, tüm işlemi durdurur – bazılarına yol açar Araştırmacılar, tehdit aktörlerinin Rus kökenli olduğuna inanıyor.
Play Store tek bulaşma vektörü olmadığından, virüslü cihazların tam sayısını belirlemek imkansızdır. Aslında, kötü amaçlı yazılım, Google’ın uygulama deposu aracılığıyla nispeten sınırlı bir dağıtıma sahip ve ana dağıtım kanalları henüz keşfedilmedi. Cyble’ın araştırması sayesinde bildiğimiz şey, kötü amaçlı uygulamalardan birinin 10 milyondan fazla indirmeye sahip olduğu.
Ancak bir kurban kötü amaçlı yazılımı indirdiğinde, önce ona izin vermesi gerekir, bu nedenle bazı durumlarda “Google Protect” i taklit eder ve Erişilebilirlik Hizmeti’ne erişim talep eder. Kurban sağlarsa, kötü amaçlı yazılım SMS metinlerini ve bildirimleri ele geçirir, ekranı kaydetmeye başlar, kişileri ve arama listelerini sızdırır ve daha fazlasını yapar.
Erişilebilirlik Hizmetini etkinleştirerek, kötü amaçlı yazılımın ortadan kaldırılması da daha da zorlaşır ve tehdit aktörlerinin Google Authentication tek seferlik şifrelerini de sızdırmasına olanak tanır.
Araştırmacılar ayrıca kötü amaçlı yazılımın eklenebilecek ek modüllere sahip olduğunu ve bu modüllerin ona VNC sunucusu başlatma, sessiz modu etkinleştirme, WebSocket bağlantısı kurma veya ekranı karartma gibi ekstra özellikler verdiğini söyledi.
Yolu ile: BleepingBilgisayar (yeni sekmede açılır)