Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, зафиксировала активность банковского Android-трояна Godfather, атакующего пользователей популярных финансовых сервисов. География его жертв охватывает 16 стран мира, а в список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков. Эксперты Threat Intelligence выяснили, что Godfather распространялся через официальный магазин Google Play под видом легальных криптоприложений.
Согласно новому исследованию Group-IB жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу. Предположительно, разработчиками Godfather являются, русскоязычные злоумышленники.
Godfather и Anubis: семейные связи
Впервые активность Godfather — мобильного банковского трояна, похищающего учетные данные клиентов банков и криптобирж, команда Group-IB Threat Intelligence заметила в июне 2021 года. Год спустя, в марте 2022-го, исследователи из Threat Fabric первыми упомянули этот банкер публично и уже через пару месяцев, в июне, активность трояна вдруг прекратилась — его операторы залегли на дно. Однако в сентябре 2022 года Godfather вернулся, уже с измененным функционалом.
Как выяснили аналитики Group-IB Threat Intelligence, в основе Godfather лежит одна из версий хорошо известного банковского трояна Anubis, чей исходный код был слит еще в 2019 году. С выходом новых версий Android многие из возможностей Anubis перестали функционировать, однако его не стали списывать со счетов. Исходный код Anubis был взят за основу разработчиками Godfather, его модернизировали под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.
Приложение, от которого невозможно отказаться
Godfather унаследовал от Anubis и метод распространения. Например, загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона — якобы запускалось стандартное приложение Google Protect — однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.
В это же время Godfather устанавливал себя в автозапуск, скрывал иконку из списка установленных приложений, а самое главное — получал права к AccessibilityService (это одна из функций Android для пользователей, имеющих ограниченные возможности). Благодаря этому Godfather мог вести запись экрана зараженного устройства, запускать «клавиатурный шпион» — keylogger, рассылать SMS-сообщения и выполнять USSD-запросы и тд.
И как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему webfake’и (отображаемые поверх легитимных приложений html-страницы). Все введенные в эти страницы данные, в том числе логины и пароли — отправлялись злоумышленникам. Одна из особенностей Godfather в том, что его командный сервер находится в описании Telegram-канала (техника получения С2 адреса из Telegram-канала ранее использовалась в некоторых версиях Anubis).
“Несмотря на то, что безопасность мобильных приложений и самих операционных систем стремительно развивается, банковские Android-трояны рано списывать со счетов. Мы по-прежнему видим их высокую активность и широкое распространение модификаций троянов, исходный код которых был опубликован в публичном доступе, самый яркий пример — банкер Godfather. Этот троян наносит ущерб не только пользователям, но и всему финансовому сектору. Киберпреступники сейчас ограничены только своей фантазией и способностью создавать убедительные веб-подделки конкретных финансовых приложений.”
Младший специалист по анализу вредоносного кода, Group-IB
Пользователям криптокошельков и банковских приложений эксперты Group-IB рекомендуют:
- всегда проверять наличие обновлений на мобильном устройстве: более новые версии Android менее уязвимы к подобным атакам
- не загружать приложения со сторонних источников, кроме Google Play (однако, даже Google Play не является гарантией безопасности), а также проверять запрашиваемые приложением права до его установки.
- не давать слишком много прав приложению и всегда проверять, какие права оно требует для своей работы (в случае с трояном Godfather, все его коммуникации с сервером выполняются только после выдачи доступа к AccessibilityService).
- не посещать посторонние и подозрительные ресурсы.
- не переходить по ссылкам из SMS-сообщений.
Учитывая, что разработчики трояна позаботились о том, чтобы затруднить его обнаружение, финансовым организациям, чьи клиенты пользуются мобильными приложениями, необходимо менять подход к их защите. В отличие от классического антифрода, решения класса Group-IB Fraud Protection «умеют» находить и останавливать вредоносную активность задолго до осуществления атаки, при попытке воспроизвести действия легитимного пользователя.