Group-IB выявила активность распространяющегося под видом криптоприложений трояна
. Компания по кибербезопасности Group-IB зафиксировала активность Android-трояна Godfather, атаковавшего пользователей более 400 финансовых компаний в 16 странах мира и распространяющегося через Google Play под видом легальных криптоприложений, при этом Россию и страны СНГ он обходит стороной, говорится в сообщении компании.
«Group-IB зафиксировала активность банковского Android-трояна Godfather, атакующего пользователей популярных финансовых сервисов. География его жертв охватывает 16 стран мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков. Эксперты Threat Intelligence выяснили, что Godfather распространялся через официальный магазин Google Play под видом легальных криптоприложений», — говорится в сообщении.
Впервые троян был замечен специалистами компании в 2021 году, однако в июне 2022 года его активность прекратилась. Атаки возобновились осенью. В основе Godfather лежит одна из версий банковского трояна Anubis, чей исходный код был выложен еще в 2019 году.
«Согласно новому исследованию Group-IB, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу», — отметили в компании.
Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона — якобы запускалось стандартное приложение Google Protect — однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.
«Как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему webfake’и (отображаемые поверх легитимных приложений html-страницы). Все введенные в эти страницы данные, в том числе логины и пароли — отправлялись злоумышленникам», — добавили в компании.
