- 13,858
- 20
- 8 Ноя 2022
Предположительно, разработчиками Godfather являются, русскоязычные злоумышленники.
Для просмотра ссылки Войди
Как отмечается в Для просмотра ссылки Войди
«Предположительно, разработчиками Godfather являются русскоязычные злоумышленники», — сообщили в Group-IB.
Впервые специалисты Group-IB заметили троян Godfather в 2021 году, осенью 2022-го он вернулся, уже с измененным функционалом.
В основе Godfather, похищающего учетные данные клиентов банков и криптобирж, лежит одна из версий банковского трояна Anubis. Исходный код Anubis был взят за основу разработчиками Godfather, его модернизировали под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.
По данным Group-IB, загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона, якобы запуская на 30 секунд стандартное приложение Google Protect. Однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.
В это же время Godfather устанавливал себя в автозапуск, скрывал иконку из списка установленных приложений и получал права к AccessibilityService.
Как только пользователь запускал мобильное или веб-приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему webfake’и (отображаемые поверх легитимных приложений html-страницы). Все введенные в эти страницы данные, в том числе логины и пароли — отправлялись злоумышленникам. Одна из особенностей Godfather в том, что его командный сервер находится в описании Telegram-канала (техника получения С2 адреса из Telegram-канала ранее использовалась в некоторых версиях Anubis).
- Источник новости
- www.securitylab.ru
