GodFather Android恶意软件针对400家银行和加密货币交易所-VPS资讯_海外云服务器资讯_海外服务器资讯

邪恶的机器人图

名为“教父”的 Android 银行恶意软件一直以 16 个国家/地区的用户为目标，试图窃取 400 多个在线银行网站和加密货币交易所的帐户凭据。

当受害者尝试登录网站时，该恶意软件会生成覆盖在银行和加密交换应用程序登录表单之上的登录屏幕，诱使用户在精心设计的 HTML 钓鱼页面上输入他们的凭据。

Godfather 木马是由 Group-IB 分析师发现的，他们认为它是 Anubis 的继任者，Anubis 是一种曾经广泛使用的银行木马，由于无法绕过更新的 Android 防御而逐渐被淘汰。

ThreatFabric于 2021 年 3 月首次发现教父，但此后它经历了大规模的代码升级和改进。

此外， Cyble 昨天发布了一份报告，强调教父活动的增加，推动了一款模仿土耳其流行音乐工具的应用程序，通过 Google Play 下载了 1000 万次。

瞄准全球银行

Group-IB 发现该恶意软件在 Google Play 商店的应用程序中分布有限；然而，主要的传播渠道尚未被发现，因此最初的感染方法在很大程度上是未知的。

教父 (215) 所针对的所有应用程序中几乎有一半是银行应用程序，其中大部分位于美国 (49)、土耳其 (31)、西班牙 (30)、加拿大 (22)、法国 (20)、德国 ( 19) 和英国 (17)。

除了银行应用程序外，教父还针对 110 个加密货币交易平台和 94 个加密货币钱包应用程序。

有趣的是，该木马配置为检查系统语言，如果设置为俄语、阿塞拜疆语、亚美尼亚语、白俄罗斯语、哈萨克语、吉尔吉斯语、摩尔多瓦语、乌兹别克语或塔吉克语，它就会停止运行。

这强烈表明《教父》的作者讲俄语，可能居住在独联体（独立国家联合体）地区。

一旦安装到设备上，教父就会模仿“Google Protect”，这是一种在所有 Android 设备上都能找到的标准安全工具。该恶意软件甚至达到了在设备上模拟扫描操作的程度。

此扫描的目的是请求从看似合法的工具访问辅助功能服务。一旦受害者批准请求，恶意软件就可以向自己颁发执行恶意行为所需的所有权限。

这包括访问 SMS 文本和通知、屏幕录制、联系人、拨打电话、写入外部存储以及读取设备状态。

此外，Accessibility Service 还被滥用来阻止用户删除木马、泄露 Google Authenticator OTP（一次性密码）、处理命令以及窃取 PIN 和密码字段的内容。

Godfather 从 C2 服务器窃取已安装应用程序的列表，以接收匹配的注入（伪造的 HTML 登录表单以窃取凭据）。

“网络虚假模仿合法应用程序的登录页面，所有输入虚假 HTML 页面的数据，如用户名和密码，都会被泄露到 C&C 服务器。” – IB 组。

该恶意软件还可以从受害者设备上安装的应用程序生成虚假通知，将受害者带到网络钓鱼页面，因此它不必等待目标应用程序打开。

对于不在列表中的应用程序，Godfather 可以使用其屏幕录制功能来捕获受害者在字段中输入的凭据。

此外，该恶意软件还接受来自 C2 的以下命令，并在设备上以管理员权限执行这些命令：

除上述外，木马功能模块使其能够执行键盘记录、启动 VNC 服务器、录制屏幕、锁定屏幕、泄露和阻止通知、启用静默模式、建立 WebSocket 连接和调暗屏幕等操作.

Anubis 的源代码于 2019 年泄露，因此教父可能是同一作者的新项目或新威胁组织创建的新恶意软件。

相似之处扩展到接收C2地址的方法、C2命令的处理和实现、web fakes模块、代理模块和屏幕捕获模块。

Godfather 省略了 Anubis 的文件加密、录音、GPS 跟踪模块，但增加了 VNC 模块，实现了新的通信协议和流量加密算法，并增加了窃取 Google Authenticator 代码的系统。

总的来说，Godfather 是一种功能丰富的危险特洛伊木马，它基于来自 Anubis 恶意软件的经过验证的代码构建，针对全球范围内的大量应用程序和 Android 用户。

为保护自己免受这种威胁，请仅从 Google Play 下载应用程序，让您的设备保持最新状态，使用 AV 工具，确保 Play Protect 处于活动状态，并将安装的应用程序数量保持在最低限度。