real time web analytics

El padrino hace que las aplicaciones bancarias sean una oferta que no pueden rechazar • The Register

Los delincuentes están utilizando un troyano bancario de Android denominado Godfather para robar a los usuarios de aplicaciones bancarias y de intercambio de criptomonedas en 16 países, según investigadores de seguridad de Group-IB

La empresa de seguridad detectó por primera vez a Godfather en junio de 2021 y, a partir de octubre, el malware de robo de credenciales se ha dirigido a los usuarios de más de 400 aplicaciones. Esto incluye 215 bancos internacionales, 94 billeteras de criptomonedas y 110 plataformas de intercambio de criptomonedas en los EE. UU., Turquía, España, Canadá, Alemania, Francia y el Reino Unido.

Además, el código del malware tiene una funcionalidad interesante que evita que ataque a usuarios de habla rusa o a aquellos que hablan otros idiomas utilizados en la antigua Unión Soviética, incluidos azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko. .

Esto “podría sugerir que los desarrolladores de Godfather hablan ruso”, escribió Group-IB.

Después de robar las credenciales de los usuarios y eludir la autenticación de dos factores, los delincuentes acceden a las cuentas bancarias y las billeteras criptográficas de las víctimas y luego agotan sus fondos.

Godfather es esencialmente una versión actualizada del troyano bancario Anubis, según los investigadores de seguridad, quienes descubrieron que ambos comparten la misma base de código.

Además de mejorar el protocolo y las capacidades de comunicación de comando y control, “los desarrolladores de Godfather también modificaron el algoritmo de cifrado de tráfico de Anubis, actualizaron varias funcionalidades como las OTP de Google Authenticator y agregaron un módulo separado para administrar las conexiones informáticas de la red virtual”, escribieron.

Incluso después de aparecer en la escena del malware en junio de 2021, Godfather dejó de circular aproximadamente un año después, lo que los analistas de seguridad informática creen que estaba relacionado con otra actualización de software. Reapareció en septiembre, con una funcionalidad WebSocket modificada, así como una versión de malware como servicio que se vende en Telegram.

Los investigadores de seguridad dicen que no saben exactamente cómo Godfather infecta los dispositivos. Sin embargo, después de analizar la infraestructura de red del troyano, descubrieron un dominio cuya dirección de comando y control pertenecía a una aplicación de Android.

“Si bien Group-IB no pudo obtener la carga útil, los analistas creen que una aplicación maliciosa alojada en Google Play Store contenía el troyano Godfather”, escribieron.

Una vez descargado en un dispositivo móvil, el código imita a Google Protect para establecer la persistencia y acceder a AccessibilityService, otra herramienta legítima de Android utilizada por los desarrolladores para modificar sus aplicaciones para usuarios con discapacidades. Esto también le da a Padrino los permisos necesarios para comunicarse con el servidor C&C.

Y al igual que otros troyanos bancarios, el malware utiliza falsificaciones web (páginas web falsas que se muestran sobre aplicaciones legítimas) que permiten a los delincuentes robar las credenciales de los usuarios. Las falsificaciones web imitan las páginas de inicio de sesión legítimas de las aplicaciones bancarias, por lo que cuando los usuarios ingresan su nombre y contraseña, ingresan esa información privada en un sitio web controlado por un actor de amenazas.

Además de filtrar las credenciales de los usuarios, Godfather también envía notificaciones automáticas para recolectar los códigos de autenticación de dos factores de los usuarios. Una vez que han robado las credenciales y los códigos de los usuarios, pueden robar todos los fondos de las cuentas bancarias o las billeteras criptográficas.

“Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather”, señaló el informe, “los métodos aprovechados por actores maliciosos son motivo de preocupación”. ®

Leave a Comment