Android malver krade lozinke iz aplikacija za onlajn bankarstvo

Mobilni telefoni, 21.12.2022, 10:30 AM

Malver za Android nazvan „Godfather“ („Kum“) primećen je u 16 zemalja, u kojima je pokušavao da ukrade akreditive naloga za više od 400 sajtova za onlajn bankarstvo i berze kriptovaluta.

Malver generiše ekrane za prijavu koji prekrivaju obrasce za prijavu u aplikacijama za onlajn bankarstvo i kripto menjačnica kada žrtve pokušaju da se prijave na sajt, navodeći ih da unesu svoje akreditive na dobro napravljenim HTML stranicama.

Trojanca su otkrili analitičari firme Group-IB, koji smatraju da je on naslednik Anubisa, nekada veoma korišćenog bankarskog trojanca koji je postepeno prestao da se koristi zbog toga što više nije mogao da zaobiđe noviju odbranu Androida. Njegov kod je procurio 2019. godine, tako da bi Godfather mogao biti ili novi projekat istih autora ili novi malver koji su napravili neki drugi ljudi.

Kako izveštava Bleeping Computer, malver su najpre otkrili istraživači ThreatFabrica u martu 2021. godine, ali je on od tada prošao kroz ogromne nadogradnje i poboljšanja koda. U izveštaju koji je ove nedelje objavio Cyble, navodi se da je primećen porast aktivnosti Godfathera zahvaljujući aplikaciji koja imitira aplikaciju MYT Music, veoma popularnu u Turskoj, koja je preuzeta 10 miliona puta iz Google Play prodavnice.

Distribucija malvera preko Google Play prodavnice je ograničena, a glavni kanali distribucije još uvek nisu otkriveni, tako da je početni metod infekcije uglavnom nepoznat.

Skoro polovina svih aplikacija koje cilja Godfather, njih 215, su aplikacije banaka, a najviše ih je u Sjedinjenim Državama (49), Turskoj (31), Španiji (30), Kanadi (22), Francuskoj (20), Nemačkoj ( 19) i Velikoj Britaniji (17). Osim aplikacija banaka, Godfather cilja i 110 platformi za kriptovalute i 94 novčanika za kriptovalute.

Trojanac je konfigurisan da proverava sistemski jezik i ako je podešen na ruski, azerbejdžanski, jermenski, beloruski, kazahstanski, kirgiški, moldavski, uzbečki ili tadžički, obustavlja svoje aktivnosti na zaraženom uređaju. Ovo ukazuje da autori ovog malvera najverovatnije govore ruski, i da verovatno žive u regionu Zajednice nezavisnih država.

Kada se instalira na uređaju, Godfather imitira „Google Protect“, standardni bezbednosni alat koji se nalazi na svim Android uređajima. Malver u tom oponašanju Google Protecta ide do te mere da emulira skeniranje na uređaju. Cilj ovog skeniranja je da se zatraži pristup usluzi pristupačnosti. Kada žrtva odobri zahtev naizgled legitimne aplikacije, malver može sam sebi da da sve dozvole koje su mu potrebne da bi ostvario svoje ciljeve.

Ovo uključuje pristup SMS porukama i obaveštenjima, snimanje ekrana, pristup kontaktima, iniciranje poziva, pisanje na spoljnu memoriju i čitanje statusa uređaja. Usluga pristupačnosti se zloupotrebljava i da bi sprečila korisnika da ukloni trojanca, ali i za eksfiltriranje OTP kodova Google Authenticatora (jednokratne lozinke), za obradu komandi i krađu sadržaja polja za PIN i lozinku.

Trojanac takođe eksfiltrira listu instaliranih aplikacija da bi sa C2 servera dobio odgovarajuće instrukcije i lažne HTML formulare za prijavu za krađu akreditiva.

Godfather takođe može da generiše lažna obaveštenja aplikacija instaliranih na uređaju žrtve da bi odveo žrtvu na stranicu za „pecanje“, tako da ne mora da čeka da se ciljna aplikacija otvori.

Za aplikacije koje nisu na listi, malver može da koristi svoje funkcije snimanja ekrana da bi „uhvatio“ akreditive koje je žrtva unela u polja.

Pored toga, malver sa administratorskim privilegijama koje ima na uređaju može da šalje SMS poruke sa zaraženog uređaja, pokreće aplikacije, obriše keš bilo koje aplikacije koju odredi C2, onemogući ili omogući prosleđivanje poziva na broj koji je odredio C2, otvara stranice u veb pregledaču i još mnogo toga. Trojanac ima i module koji mu omogućavaju da obavlja radnje kao što su keylogging, pokretanje VNC servera, snimanje ekrana, zaključavanje ekrana, eksfiltriranje i blokiranje obaveštenja, omogućavanje tihog režima, zatamnjivanje ekrana itd.

Da biste se zaštitili od ovog i sličnih malvera, preuzimajte aplikacije samo sa Google Play, održavajte svoj uređaj ažuriranim, koristite pouzdanu antivirusnu zaštitu uz aktivnu zaštitu Play Protecta i držite broj instaliranih aplikacija na najmanjom mogućem nivou.