Singapuris põhinev uurimistöö Group-IB kirjeldab Godfather monster pahavara, mida kasutatakse enam kui 400 fintech-rakenduse, krüptobörsi ja rahakoti sihtimiseks enam kui 16 riigis.
Üksikasjalikult aru, näitab Group-IB, et häkkerid võivad varastada Interneti-panganduse ja muu sisselogimisandmeid finantsteenused kasutades Godfatheri pahavara, võimaldades neil ohvrite kontosid tühjendada. Ühendkuningriigi finantsinstitutsioonid on 400 ohvri hulgas kõige rohkem kannatanud, rünnakud on aset leidnud viimase kolme kuu jooksul.
Grupi IB kohta olid pooled sihtmärkidest finantsasutused. 17 asusid Ühendkuningriigis, 49 USA-s, 31 Türgis ja 30 Hispaanias. Ülejäänud ohvrid on Kanadas, Prantsusmaal, Saksamaal, Itaalias ja Poolas.
Trooja ristiisa: kuidas see töötab
Androidi panganduse troojalane on Anubise uuendatud järeltulija, mis põhjustas ka 2019. aastal ökosüsteemile palju kahju. Nende kahe pahavara sarnasused on nende meetodid C2-aadressi hankimisel, C2-käskude täitmisel ja moodulite ekraanil kasutamisel. püüda, volikirija veebivõltsimine. Heli salvestamise, asukoha jälgimise ja kahefaktorilisest autentimisest möödahiilimise võimalus on aga saadaval ainult Godfatheri pahavara puhul.
Ristiisa pahavara on peidetud Play poes pakutavates Androidi rakendustes. Kasuliku koorma pahatahtlik kood on maskeeritud Google Protecti sarnaseks. See teenus skannib rakendusi võimaliku ohtliku käitumise suhtes. Pärast kasutaja käivitamist jäljendab pahavara ehtsat Google'i programmi. Animatsioon näitab "Google Protect", kuid seda pole.
Play poest vektorrakenduse installimisel pahavara Õigused end ohvri süsteemi. See loob kontakti oma käskude ja juhtimisserveriga, saates kõik ohvri andmed. Sihtmärgid võivad neid arenguid märgata alles siis, kui nad kaotavad raha ja neil on raske lubatud rakendust tagasi võtta või keelata.
Group-IB noorem pahavaraanalüütik Artem Grischenko ütles, et sidemed Ristiisa ja Annubise vahel näitavad, et küberkurjategijad muutuvad üha keerukamaks. Arendajad ja haldajad peavad oma infrastruktuuri uuendama, sest kes iganes on ristiisa taga trooja saab ikka rohkem teha.
Uurimuse lõplik osa näitab ka seda, et riigid, millel on sidemed kadunud Nõukogude Liiduga, puuduvad ohvrite nimekirjast ja auastmest täielikult. A koodi rida Väidetavalt peatab trooja toimingud, kui märkab vene, moldova, kirgiisi, aserbaidžaani, kasahhi, armeenia, tadžiki või usbeki keelt. Teadlased vihjavad võimalusele a kübersõda.
Allikas: https://crypto.news/android-trojan-targets-over-400-apps-iclude-crypto-and-fintech/