A „Godfather” nevű rosszindulatú program a kriptoalkalmazások és más szolgáltatások felhasználóit célozza meg a BaFin német szabályozó hatóság közleménye szerint. Január 9.
A BaFin elmondta, hogy a Godfather körülbelül 400 kriptovaluta- és banki alkalmazást érint. A rosszindulatú program konkrétabban 110 kriptotőzsdét, 94 kriptopénztárcát és 215 banki alkalmazást céloz meg egy külön jelentés szerint. IB csoport decemberben.
A keresztapa úgy lopja el a felhasználók bejelentkezési adatait, hogy hamis bejelentkezési ablakokat jelenít meg a valós ablakok tetején, ezzel megtévesztve a felhasználókat, hogy adataikat egy felügyelt űrlapba írják be.
A Godfather csak Android-eszközökön működik. Utánozza a Google Protectet, hogy megállja a helyét. Ezután hamisan ellenőrzi a Play Áruház letöltéseit rosszindulatú programok után, és elrejti magát a telepített alkalmazások listájából. A Google Protect utánzásával a Godfather az AccessibilityService-t is felhasználhatja, hogy további hozzáférést szerezzen az eszközhöz, és adatokat továbbítson a támadóknak.
A Godfather kifejezetten a felhasználó eszközére telepített alkalmazásokat próbálja utánozni. Ugyanakkor képes rögzíteni a képernyőt, elindítani a billentyűnaplókat, átirányítani a 2FA kódokat tartalmazó hívásokat, küldeni SMS-eket, és számos más stratégiát is használhat.
Bár Németország figyelmeztetett ma a Keresztapa támadásokra, a támadások nem elszigeteltek az országra. Az IB Group jelentésében azt írta, hogy a Godfather 16 ország felhasználóit célozta meg, köztük az Egyesült Államokban, Törökországban, Spanyolországban, Kanadában, Franciaországban és az Egyesült Királyságban. Mellesleg bizonyos nyelvekre, köztük oroszra beállított eszközök nem futtathatják a kártevőt.
Az IB csoport azt javasolta, hogy a Godfather részben egy rosszindulatú Google Play alkalmazáson keresztül terjedt el. A biztonsági kutatócsoport azonban azt mondta, hogy általánosságban nem világos, hogy ez a rosszindulatú program hogyan fertőzi meg az eszközöket.
Az adathalász rosszindulatú programok meglehetősen gyakoriak. Egy hasonló rosszindulatú program az úgynevezett Mars Stealer 2022-ben jelent meg, és egy másik hívott Mosómedve 2021-ben volt látható.
Az adathalászat azonban a felhasználói eszközök megfertőzése nélkül is végrehajtható. Az ilyen támadások kizárólag hamis e-mailek és valódi megfelelőikre emlékeztető webhelyek létrehozásával hajthatók végre – emberi hibára támaszkodva, nem pedig feltört eszközökre.
Forrás: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/