Домой Технологии и рынок Group-IB зафиксировала активность Android-трояна Godfather — Крипто, 21.12.2022

Group-IB зафиксировала активность Android-трояна Godfather — Крипто, 21.12.2022

7
0

Group-IB выявила активность распространяющегося под видом криптоприложений троянаХакер

. Компания по кибербезопасности Group-IB зафиксировала активность Android-трояна Godfather, атаковавшего пользователей более 400 финансовых компаний в 16 странах мира и распространяющегося через Google Play под видом легальных криптоприложений, при этом Россию и страны СНГ он обходит стороной, говорится в сообщении компании.

«Group-IB зафиксировала активность банковского Android-трояна Godfather, атакующего пользователей популярных финансовых сервисов. География его жертв охватывает 16 стран мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков. Эксперты Threat Intelligence выяснили, что Godfather распространялся через официальный магазин Google Play под видом легальных криптоприложений», — говорится в сообщении.

Впервые троян был замечен специалистами компании в 2021 году, однако в июне 2022 года его активность прекратилась. Атаки возобновились осенью. В основе Godfather лежит одна из версий банковского трояна Anubis, чей исходный код был выложен еще в 2019 году.

«Согласно новому исследованию Group-IB, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу», — отметили в компании.

Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона — якобы запускалось стандартное приложение Google Protect — однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.

«Как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему webfake’и (отображаемые поверх легитимных приложений html-страницы). Все введенные в эти страницы данные, в том числе логины и пароли — отправлялись злоумышленникам», — добавили в компании.

Источник