Troyano bancario para Android GodFather dirigido a usuarios de más de 400 aplicaciones bancarias y criptográficas


21 de diciembre de 2022Ravie LakshmanánSeguridad móvil / troyano bancario

Un troyano bancario para Android conocido como Padrino se está utilizando para apuntar a usuarios de más de 400 aplicaciones bancarias y de criptomonedas en 16 países.

Esto incluye 215 bancos, 94 proveedores de billeteras criptográficas y 110 plataformas de intercambio criptográfico que atienden a usuarios en los EE. UU., Turquía, España, Italia, Canadá y Canadá, entre otros, Group-IB con sede en Singapur. dijo en un informe compartido con The Hacker News.

El malware, como muchos troyanos financieros que tienen como objetivo el ecosistema de Android, intenta robar las credenciales de los usuarios generando pantallas superpuestas convincentes (también conocidas como falsificaciones web) que se muestran sobre las aplicaciones de destino.

La seguridad cibernética

Detectado por primera vez por Group-IB en junio de 2021 y revelado públicamente por ThreatFabric en marzo de 2022, GodFather también incluye funciones nativas de puerta trasera que le permiten abusar de las API de accesibilidad de Android para grabar videos, registrar pulsaciones de teclas, capturar capturas de pantalla y recolectar SMS y registros de llamadas.

Troyano bancario Android

El análisis de Group-IB del malware ha revelado que es un sucesor de Anubisotro troyano bancario cuyo código fuente se filtró en un foro clandestino en enero de 2019. También se dice que se distribuye a otros actores de amenazas a través del modelo de malware como servicio (MaaS).

Las similitudes entre las dos familias de malware se extienden al método de recepción de la dirección de comando y control (C2), la implementación de los comandos C2 y los módulos web fake, proxy y captura de pantalla. Sin embargo, se han eliminado las funciones de grabación de audio y seguimiento de ubicación.

“Curiosamente, GodFather ahorra a los usuarios en los países postsoviéticos”, dijo Group-IB. “Si las preferencias del sistema de la víctima potencial incluyen uno de los idiomas de esa región, el troyano se cierra. Esto podría sugerir que los desarrolladores de GodFather hablan ruso”.

Lo que hace que GodFather se destaque es el hecho de que recupera su dirección de servidor de comando y control (C2) al descifrar las descripciones de canales de Telegram controladas por actores que están codificadas usando el Cifrado de pez globo.

Troyano bancario Android

Se desconoce el modus operandi exacto empleado para infectar los dispositivos de los usuarios, aunque un examen de la infraestructura de comando y control (C2) del actor de amenazas revela que las aplicaciones cuentagotas troyanizadas son un posible vector de distribución.

Esto se basa en una dirección C2 que está vinculada a una aplicación llamada Convertidor de divisas Plus (com.plus.currencyconverter) que estaba alojada en Google Play Store a partir de junio de 2022. La aplicación en cuestión ya no está disponible para descargar.

Otro artefacto examinado por Group-IB se hace pasar por el legítimo Protección de Google Play servicio que, al ser lanzado, crea un notificación en curso y oculta su icono de la lista de aplicaciones instaladas.

Los hallazgos llegan como Cyble descubierto una serie de muestras de GodFather que se hacen pasar por la aplicación MYT Müzik dirigida a usuarios en Turquía.

GodFather no es el único malware para Android basado en Anubis. A principios de julio, ThreatFabric reveló que una versión modificada de Anubis conocida como Halcón se dirigió a los usuarios rusos haciéndose pasar por el banco estatal VTB.

“La aparición de GodFather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevención y detección de malware para actualizar sus productos”, dijo Artem Grischenko, investigador de Group-IB.

“Con una herramienta como GodFather, los actores de amenazas solo están limitados por su capacidad para crear falsificaciones web convincentes para una aplicación en particular. A veces, la continuación realmente puede ser mejor que la original”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57