Android malver krade lozinke iz aplikacija za onlajn bankarstvo
Mobilni telefoni, 21.12.2022, 10:30 AM
Malver za Android nazvan „Godfather“ („Kum“) primećen je u 16 zemalja, u kojima je pokušavao da ukrade akreditive naloga za više od 400 sajtova za onlajn bankarstvo i berze kriptovaluta.
Malver generiše ekrane za prijavu koji prekrivaju obrasce za prijavu u aplikacijama za onlajn bankarstvo i kripto menjačnica kada žrtve pokušaju da se prijave na sajt, navodeći ih da unesu svoje akreditive na dobro napravljenim HTML stranicama.
Trojanca su otkrili analitičari firme Group-IB, koji smatraju da je on naslednik Anubisa, nekada veoma korišćenog bankarskog trojanca koji je postepeno prestao da se koristi zbog toga što više nije mogao da zaobiđe noviju odbranu Androida. Njegov kod je procurio 2019. godine, tako da bi Godfather mogao biti ili novi projekat istih autora ili novi malver koji su napravili neki drugi ljudi.
Kako izveštava Bleeping Computer, malver su najpre otkrili istraživači ThreatFabrica u martu 2021. godine, ali je on od tada prošao kroz ogromne nadogradnje i poboljšanja koda. U izveštaju koji je ove nedelje objavio Cyble, navodi se da je primećen porast aktivnosti Godfathera zahvaljujući aplikaciji koja imitira aplikaciju MYT Music, veoma popularnu u Turskoj, koja je preuzeta 10 miliona puta iz Google Play prodavnice.
Distribucija malvera preko Google Play prodavnice je ograničena, a glavni kanali distribucije još uvek nisu otkriveni, tako da je početni metod infekcije uglavnom nepoznat.
Skoro polovina svih aplikacija koje cilja Godfather, njih 215, su aplikacije banaka, a najviše ih je u Sjedinjenim Državama (49), Turskoj (31), Španiji (30), Kanadi (22), Francuskoj (20), Nemačkoj ( 19) i Velikoj Britaniji (17). Osim aplikacija banaka, Godfather cilja i 110 platformi za kriptovalute i 94 novčanika za kriptovalute.
Trojanac je konfigurisan da proverava sistemski jezik i ako je podešen na ruski, azerbejdžanski, jermenski, beloruski, kazahstanski, kirgiški, moldavski, uzbečki ili tadžički, obustavlja svoje aktivnosti na zaraženom uređaju. Ovo ukazuje da autori ovog malvera najverovatnije govore ruski, i da verovatno žive u regionu Zajednice nezavisnih država.
Kada se instalira na uređaju, Godfather imitira „Google Protect“, standardni bezbednosni alat koji se nalazi na svim Android uređajima. Malver u tom oponašanju Google Protecta ide do te mere da emulira skeniranje na uređaju. Cilj ovog skeniranja je da se zatraži pristup usluzi pristupačnosti. Kada žrtva odobri zahtev naizgled legitimne aplikacije, malver može sam sebi da da sve dozvole koje su mu potrebne da bi ostvario svoje ciljeve.
Ovo uključuje pristup SMS porukama i obaveštenjima, snimanje ekrana, pristup kontaktima, iniciranje poziva, pisanje na spoljnu memoriju i čitanje statusa uređaja. Usluga pristupačnosti se zloupotrebljava i da bi sprečila korisnika da ukloni trojanca, ali i za eksfiltriranje OTP kodova Google Authenticatora (jednokratne lozinke), za obradu komandi i krađu sadržaja polja za PIN i lozinku.
Trojanac takođe eksfiltrira listu instaliranih aplikacija da bi sa C2 servera dobio odgovarajuće instrukcije i lažne HTML formulare za prijavu za krađu akreditiva.
Godfather takođe može da generiše lažna obaveštenja aplikacija instaliranih na uređaju žrtve da bi odveo žrtvu na stranicu za „pecanje“, tako da ne mora da čeka da se ciljna aplikacija otvori.
Za aplikacije koje nisu na listi, malver može da koristi svoje funkcije snimanja ekrana da bi „uhvatio“ akreditive koje je žrtva unela u polja.
Pored toga, malver sa administratorskim privilegijama koje ima na uređaju može da šalje SMS poruke sa zaraženog uređaja, pokreće aplikacije, obriše keš bilo koje aplikacije koju odredi C2, onemogući ili omogući prosleđivanje poziva na broj koji je odredio C2, otvara stranice u veb pregledaču i još mnogo toga. Trojanac ima i module koji mu omogućavaju da obavlja radnje kao što su keylogging, pokretanje VNC servera, snimanje ekrana, zaključavanje ekrana, eksfiltriranje i blokiranje obaveštenja, omogućavanje tihog režima, zatamnjivanje ekrana itd.
Da biste se zaštitili od ovog i sličnih malvera, preuzimajte aplikacije samo sa Google Play, održavajte svoj uređaj ažuriranim, koristite pouzdanu antivirusnu zaštitu uz aktivnu zaštitu Play Protecta i držite broj instaliranih aplikacija na najmanjom mogućem nivou.
Izdvojeno
Google najavio nova upozorenja na Androidu za nepoznate uređaje za praćenje
Google će ažurirati upozorenja za nepoznate uređaje za praćenje koja bi vlasnicima Android uređaja trebalo da olakšaju njihovo otkrivanje, najav... Dalje
Ove lažne ponude za posao kriju bankarskog trojanca za Android
Tim istraživača Zlabsa iz kompanije Zimperium otkrio je sofisticiranu mobilnu phishing kampanju (Mishing) koja distribuira novu varijantu bankarskog... Dalje
Špijunski malver za Android imitira popularnu aplikaciju sa Google Play
Istraživači Citizen Lab-a otkrili su novi malver za Android analizirajući softver koji je ruska Federalna služba bezbednosti (FSB) instalirala na ... Dalje
Niko nije bezbedan: zloglasni špijunski softver Pegaz pronađen na telefonima ''običnih'' ljudi
Moćni špijunski softver Pegaz mogao bi biti rašireniji nego što se ranije mislilo. Mobilna bezbednosna platforma iVerify otkrila je sedam infekci... Dalje
Novi Android bankarski trojanac krade lozinke za aplikacije banaka i kripto-berze
Istraživači iz kompanije Cleafy otkrili su novog Android bankarskog trojanca pod nazivom „DroidBot“ koji krade podatke za prijavljivanje... Dalje
Pratite nas
Nagrade