Комплаенс / Новости 22 декабря 2022

Group-IB выявила активность трояна в приложениях банков и криптобирж

Аналитики Group-IB, специализирующейся на предотвращении кибератак, зафиксировали активность Android-трояна Godfather, жертвами которого стали более 400 банков, криптовалютных бирж и электронных кошельков, сообщил Forbes.

Наибольшая интенсивность атак трояна фиксируется в США, Турции, Испании, Канаде, Франции и Великобритании, при этом он обходит стороной пользователей из России и СНГ, если в их настройках системы есть один из языков этих стран.

"Предположительно, разработчиками Godfather являются русскоязычные злоумышленники", — подчеркнули в Group-IB. 

В основе Godfather, похищающего учетные данные клиентов банков и криптобирж, лежит одна из версий хорошо известного банковского трояна Anubis, возможности которого во многом были обезврежены обновленным Android. Впервые специалисты Group-IB заметили троян Godfather в 2021 году, осенью 2022-го он вернулся с усилиенными механизмами противодействия обнаружению средствами антифрода.

Обычно загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона, якобы запуская на 30 секунд стандартное приложение Google Protect. За это время троян устанавливал себя в автозапуск. И как только пользователь запускал приложение банка, криптобиржи или электронного кошелька, Godfather "подсовывал" ему фейковые html-страницы, внесенные на которые данные, в том числе логины и пароли, отправлялись злоумышленникам.

Для противодействия новому трояну эксперты Group-IB рекомендуют в том числе проверять наличие обновлений на мобильном устройстве, так как более новые версии Android менее уязвимы к подобным атакам, не загружать приложения со сторонних источников, кроме Google Play, и всегда проверять, какие права приложение требует для своей работы (в случае с Godfather все его коммуникации с сервером выполняются только после выдачи доступа к AccessibilityService).