Эксперты Group-IB предупредили о новом банковском трояне — вредоносном приложении Godfather («Крестный отец»), которое атакует пользователей в 16 странах мира.
«Согласно новому исследованию Group-IB, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов», — сообщила пресс-служба компании. Godfather нацелен на смартфоны на ОС Android. Вирус маскируется под одно из приложений в Play Market, криптокалькулятор шпионит за работой смартфона жертвы, и как только та заходит в приложение своего банка, ворует ее логин и пароль, после чего выводит деньги со счета, уточнил «Ведомостям» представитель компании. Данных об общей сумме похищенных у пользователей средств, а также названий банков, пользователи которых подверглись нападению, он не привел.
Впервые активность Godfather заметили в июне 2021 г. В июне 2022 г. он перестал функционировать, но в сентябре 2022 г. Godfather вернулся, уже с измененным функционалом. По данным Group-IB, в основе Godfather лежит одна из версий другого банковского трояна Anubis, чей исходный код был обнародован еще в 2019 г. Разработчики Godfather модернизировали его под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.
О работе трояна Godfather слышали и другие эксперты по информационной безопасности. «Это даже не один троян, это семейство троянов, которые созданы по одним лекалам», — обращает внимание технический директор АО «Синклит» Лука Сафонов. Пока Godfather не очень распространен, констатирует эксперт. В то же время, поскольку перевод средств из-за рубежа в РФ в настоящий момент осложнен, в России активность подобного рода хакеров, атакующих пользователей за границей, снижается, добавляет Сафонов.
Первые образцы вируса известны с конца 2021 г., самые свежие версии датируются серединой декабря 2022 г., добавляет руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков.
По его словам, в течение этого периода вирус не претерпел существенных изменений в наборе своих функций: в частности, крадет SMS-сообщения, перенаправляет звонки на другой телефон, переводит денежные средства с помощью USSD-вызовов и др., добавляет он.
Поскольку троян для своего распространения маскируется под турецкое приложение, можно предположить, что он нацелен преимущественно на пользователей Турции, добавляет эксперт по кибербезопасности в «Лаборатории Касперского» Татьяна Шишкова.
Со своей стороны Group-IB, помимо стандартных рекомендаций не переходить по подозрительным ссылкам и не скачивать что-либо со сторонних источников, рекомендует пользователям чаще проверять обновления своего смартфона: последние версии Android менее восприимчивы к атакам злоумышленников. Также рекомендуется следить за используемыми приложениями разрешениями. Например, в случае с Godfather криптокалькулятор, под который он маскировался, требовал разрешения на доступ к функциям управления устройством для людей с ограниченными возможностями.