Специалисты Group-IB зафиксировали активность банковского Android-трояна Godfather (крёстный отец), атакующего пользователей популярных финансовых сервисов. География его жертв охватывает 16 стран мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков. Жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. Эксперты сервиса киберразведки (Threat Intelligence) Group-IB выяснили, что Godfather распространялся через официальный магазин Google Play под видом легальных криптоприложений.
Наследник Anubis
Как выяснили аналитики Group-IB Threat Intelligence, в основе Godfather лежит одна из версий хорошо известного банковского трояна Anubis, чей исходный код был слит еще в 2019 году. Godfather унаследовал от Anubis и метод распространения. Например, загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона — якобы запускалось стандартное приложение Google Protect — однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.
В это же время Godfather устанавливал себя в автозапуск, скрывал иконку из списка установленных приложений, а самое главное — получал права к AccessibilityService, благодаря чему троянец мог вести запись экрана зараженного устройства, запускать «клавиатурный шпион» (keylogger), рассылать SMS-сообщения и выполнять USSD-запросы и т.д. И как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему свою поддельную страницу (webfake), которая отображалась поверх легитимных приложений. Все введенные в эти страницы данные, в том числе имена и пароли пользователей — отправлялись злоумышленникам.
«Несмотря на то, что безопасность мобильных приложений и самих операционных систем стремительно развивается, банковские Android-трояны рано списывать со счетов, — уверен младший специалист по анализу вредоносного кода Group-IB Артем Грищенко. — Мы по-прежнему видим их высокую активность и широкое распространение модификаций троянов, исходный код которых был опубликован в публичном доступе, самый яркий пример — банкер Godfather. Этот троян наносит ущерб не только пользователям, но и всему финансовому сектору. Киберпреступники сейчас ограничены только своей фантазией и способностью создавать убедительные веб-подделки конкретных финансовых приложений».
Приложение, от которого можно отказаться
Впервые активность Godfather команда Group-IB Threat Intelligence заметила еще в июне 2021 года. Год спустя, в марте 2022-го, исследователи из Threat Fabric первыми упомянули этот банковский вредонос публично и уже через пару месяцев, в июне, активность трояна вдруг прекратилась — его операторы залегли на дно. Однако в сентябре 2022 года Godfather вернулся, уже с измененным функционалом.
Пользователям криптокошельков и банковских приложений эксперты Group-IB рекомендуют: проверять наличие обновлений на мобильном устройстве (более новые версии Android менее уязвимы к подобным атакам); не загружать приложения из сторонних источников, кроме Google Play и российских магазинов приложений; проверять запрашиваемые приложением права до его установки; не давать слишком много прав приложению; не посещать потенциально опасные и подозрительные ресурсы; не переходить по ссылкам из SMS-сообщений.
Поскольку разработчики трояна позаботились о том, чтобы затруднить его обнаружение, финансовым организациям необходимо менять подход к защите своих клиентов — пользователей мобильных приложений — и учиться находить и останавливать вредоносную активность задолго до осуществления атаки, при попытке воспроизвести действия легитимного пользователя.
