Um trojan bancário Android conhecido como GodFather está sendo usado para segmentar usuários de mais de 400 aplicativos bancários e de criptomoedas que abrangem 16 países.
Isso inclui 215 bancos, 94 provedores de carteira cripto e 110 plataformas de troca de cripto que atendem usuários nos EUA, Turquia, Espanha, Itália, Canadá e Canadá, entre outros, disse o Group-IB, com sede em Cingapura.
O malware, como muitos trojans financeiros que visam o ecossistema Android, tenta roubar credenciais de usuário gerando telas de sobreposição convincentes (também conhecidas como falsificações da web) que são enviadas para aplicativos de destino.
Detectado pela primeira vez pelo Group-IB em junho de 2021 e divulgado publicamente pela ThreatFabric em março de 2022, GodFather também inclui recursos nativos de backdoor que permitem abusar das APIs de acessibilidade do Android para gravar vídeos, registrar pressionamentos de teclas, capturar capturas de tela e coletar SMS e registros de chamadas.
A análise feita pelo Group-IB do malware revelou que ele é um sucessor do Anubis, outro trojan bancário que teve seu código-fonte vazado em um fórum na dark web em janeiro de 2019. Também é distribuído para outros agentes de ameaças através do modelo de malware como serviço (MaaS).
As semelhanças entre as duas famílias de malware se estendem ao método de recebimento do endereço de comando e controle (C2), à implementação de comandos C2 e aos módulos de falsificação da Web, proxy e captura de tela. No entanto, os recursos de gravação de áudio e rastreamento de localização foram removidos.
“Curiosamente, o Poderoso Chefão poupa usuários em países pós-soviéticos”, disse o Group-IB.
“Se as preferências de sistema da vítima em potencial incluírem um dos idiomas nessa região, o Trojan será desligado. Isso poderia sugerir que os desenvolvedores do Pai de Deus são falantes de russo.”
O que faz GodFather se destacar é o fato de que ele recupera seu endereço de servidor de comando e controle (C2) descriptografando descrições de canais do Telegram controladas por atores que são codificadas usando a cifra Blowfish.
Como o GodFather para Android funciona?
O modus operandi exato empregado para infectar dispositivos de usuários não é conhecido, embora um exame da infraestrutura de comando e controle (C2) do agente de ameaça revele aplicativos conta-gotas trojanizados como um vetor de distribuição potencial.
Isso se baseia em um endereço C2 vinculado a um aplicativo chamado Currency Converter Plus (com.plus.currencyconverter) hospedado na Google Play Store em junho de 2022. O aplicativo em questão não está mais disponível para download.
Outro artefato examinado pelo Group-IB personifica o serviço legítimo do Google Play Protect que, ao ser iniciado, cria uma notificação contínua e oculta seu ícone da lista de aplicativos instalados.
As descobertas vêm quando Cyble descobriu uma série de amostras do Pai Divino disfarçadas como o aplicativo MYT Müzik destinado a usuários na Turquia.
Anubis e suas variações
GodFather não é o único malware Android baseado em Anubis. No início de julho, a ThreatFabric revelou que uma versão modificada do Anubis conhecida como Falcon tinha como alvo usuários russos fazendo-se passar pelo banco estatal VTB.
“O surgimento do GodFather ressalta a capacidade dos agentes de ameaças de editar e atualizar suas ferramentas para manter sua eficácia, apesar de os esforços dos provedores de detecção e prevenção de malware para atualizar seus produtos”, disse o pesquisador do Group-IB, Artem Grischenko.
“Com uma ferramenta como o GodFather, os agentes de ameaças são limitados apenas por sua capacidade de criar falsificações da Web convincentes para um aplicativo específico. Às vezes, a sequência realmente pode ser melhor do que a original.”
Curta comente e compartilhe