总部位于新加坡的研究 Group-IB 描述了教父怪物恶意软件,该恶意软件用于针对超过 400 个国家的 16 多个金融科技应用程序、加密货币交易所和钱包。
在详细 报告,Group-IB 证明黑客可以窃取网上银行等的登录信息 金融服务 使用教父恶意软件,使他们能够清空受害者的帐户。在400名受害者中,英国的金融机构受到的打击最为严重,袭击发生在过去三个月内。
根据 Group-IB,一半的目标是金融机构。 17 个位于英国,49 个位于美国,31 个位于土耳其,30 个位于西班牙。其余受害者位于加拿大、法国、德国、意大利和波兰。
教父木马:它是如何工作的
Android银行木马是Anubis的新后继者,Anubis在2019年也对生态系统造成了很大的破坏。这两种恶意软件的相似之处在于获取C2地址、执行C2命令以及使用屏幕模块的方法捕获, 代理和网络欺骗。然而,录制音频、跟踪位置和绕过两步身份验证的功能仅适用于 Godfather 恶意软件。
Godfather 恶意软件隐藏在 Play 商店中的 Android 应用程序中。有效负载的恶意代码被伪装成类似于 Google Protect。该服务扫描应用程序是否存在可能的危险行为。用户启动后,该恶意软件会模仿正版 Google 程序。动画显示“Google 保护”,但实际上没有。
从 Play 商店安装矢量应用程序后,恶意软件 权限 本身进入受害者的系统。它与其命令和控制服务器建立联系,发送所有受害者的数据。目标只有在失去资金并发现很难撤回或禁用许可的应用程序时才会注意到这些进展。
Group-IB 的初级恶意软件分析师 Artem Grischenko 表示,Godfather 和 Annubis 之间的联系表明网络犯罪分子的狡猾程度正在不断提高。开发人员和管理人员需要更新他们的基础设施,因为无论谁是教父的幕后黑手 木马 还可以做更多。
研究的结论部分还表明,与已解体的苏联有联系的国家完全没有出现在受害者名单和排名中。 A 代码行 据报道,该木马一旦发现俄语、摩尔多瓦语、吉尔吉斯语、阿塞拜疆语、哈萨克语、亚美尼亚语、塔吉克语或乌兹别克语,就会关闭操作。研究人员正在暗示一种可能性 网络战争.
来源:https://crypto.news/android-trojan-targets-over-400-apps-include-crypto-and-fintech/