Singapurreko ikerketa Talde-IB-k 400 fintech aplikazio, kripto truke eta zorro 16 herrialdetan baino gehiago bideratzeko erabiltzen den Godfather munstroaren malwarea deskribatzen du.
Xehetasun batean bidali gertakar, Group-IB-k frogatzen du hacker-ek saio-hasiera-informazioa lapurtu dezaketela lineako bankurako eta bestelakoetarako finantza-zerbitzuak Godfather malwarea erabiliz, biktimen kontuak husteko aukera emanez. Erresuma Batuko finantza erakundeak dira 400 biktimen artean kaltetuenak, azken hiru hilabeteetan erasoak gertatu baitziren.
IB Taldeko, helburuen erdiak finantza erakundeak ziren. 17 Erresuma Batuan zeuden, 49 AEBetan, 31 Turkian eta 30 Espainian. Gainerako biktimak Kanadan, Frantzian, Alemanian, Italian eta Polonian daude.
Godfather troia: nola funtzionatzen duen
Android bankuko Troiako Anubis-en oinordeko berritua da, eta 2019an ekosistemari ere kalte handia eragin zion. Bi malware hauen arteko antzekotasunak C2 helbidea lortzeko, C2 komandoak egiteko eta pantailarako moduluak erabiltzeko metodoak dira. harrapatu, proxy, eta web spoofing. Hala ere, audioa grabatzeko, kokapenaren jarraipena egiteko eta 2 faktoreko autentifikazioa saihesteko gaitasuna Godfather malwarean bakarrik dago eskuragarri.
Godfather malwarea Play Store-n agertzen diren Android aplikazioetan ezkutatuta dago. Kargaren kode gaiztoa mozorrotuta dago Google Protect antza izateko. Zerbitzu honek aplikazioak arakatzen ditu jokabide arriskutsuak aurkitzeko. Erabiltzaile batek abiarazi ondoren, malwareak benetako Google programa bat imitatzen du. Animazio batek "Google protect" erakusten du, baina ez dago.
Play Store-ko bektore aplikazioa instalatzean, malwarea baimenak bera biktimaren sisteman sartu. Bere komando eta kontrol zerbitzariarekin kontaktua ezartzen du, biktimaren datu guztiak bidaliz. Helburuek baliteke garapen hauek nabarituko dituztenean funtsak galdu eta baimendutako aplikazioa kentzea edo desgaitzea zaila egiten zaienean.
Artem Grischenkok, Group-IBko malware analista juniorrak, esan zuen Godfather eta Annubisen arteko loturek adierazten dutela ziberkriminalak sofistikazioan hazten ari direla. Garatzaileek eta kudeatzaileek beren azpiegiturak eguneratu behar dituzte, aitabitxiaren atzean dagoena delako Troiako oraindik gehiago egin dezake.
Ikerketaren zati erabakigarriak ere erakusten du desagertutako Sobietar Batasunarekin lotura duten herrialdeak guztiz falta direla biktimen zerrendan eta mailan. A kode lerroa troiakoan, errusiar, moldaviar, kirgizera, azerbaijanera, kazakhera, armeniera, tajikera edo uzbekera hizkuntzak ohartzen direnean operazioak gelditzen ditu. Ikertzaileek a ziber gerra.
Iturria: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/