El malware Godfather ataca a más de 400 apps de banca e intercambio de criptomonedas

Recomendados.... » Tendencias TI 2023 y factores que influirán en su despliegue  Webinar » Administración Pública Digital: progreso y vanguardia On Demand » Digitalización y seguridad, motor de innovación del sector financiero  Informe

Un malware Android llamado Godfather ha estado atacando a usuarios en 16 países, intentando robar las credenciales de sus cuentas en más de 400 sitios de banca online y de intercambio de criptomonedas. Los analistas de Group-IB creen que es el sucesor de Anubis, un troyano bancario ampliamente utilizado que gradualmente cayó en desuso debido a su incapacidad para eludir las nuevas defensas de Android.

ThreatFabric descubrió por primera vez Godfather en marzo de 2021, pero ha experimentado actualizaciones y mejoras masivas de código desde entonces. Group-IB ha encontrado una distribución limitada del malware en aplicaciones en Google Play Store, incluida una aplicación que imita una herramienta de música popular en Turquía, la cual ha sido descargada 10 millones de veces.

El malware genera pantallas de inicio de sesión superpuestas en la parte superior de los formularios de inicio de sesión de las aplicaciones bancarias y de intercambio criptográfico cuando las víctimas intentan iniciar sesión en el sitio, engañando al usuario para que ingrese sus credenciales en páginas de phishing HTML bien diseñadas.

Casi la mitad de todas las aplicaciones objetivo de Godfather, 215, son aplicaciones bancarias, y la mayoría de ellas están en los Estados Unidos (49), seguido de Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19) y el Reino Unido (17). Además de las aplicaciones bancarias, Godfather apunta a 110 plataformas de intercambio de criptomonedas y 94 aplicaciones de billeteras de criptomonedas. Curiosamente, el troyano está configurado para verificar el idioma del sistema, y si está configurado en ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko, detiene su funcionamiento, lo que indica los autores son de habla rusa.

Una vez instalado en el dispositivo, Godfather imita 'Google Protect', una herramienta de seguridad estándar que se encuentra en todos los dispositivos Android. El malware incluso llega al extremo de emular una acción de escaneo en el dispositivo. El objetivo de este análisis es solicitar acceso al servicio de accesibilidad desde lo que parece ser una herramienta legítima. Una vez que la víctima aprueba la solicitud, el malware puede emitirse todos los permisos que necesita para realizar un comportamiento malicioso, lo que incluye acceso a mensajes de texto y notificaciones SMS, grabación de pantalla, contactos, hacer llamadas, escribir en almacenamiento externo y leer el estado del dispositivo.

El malware también puede generar notificaciones falsas de aplicaciones instaladas en el dispositivo de la víctima para llevar a la víctima a una página de phishing, por lo que no tiene que esperar a que se abra la aplicación de destino.