Saksa regulaatori BaFini avalduse kohaselt on pahavara nimega "Ristiisa" sihiks krüptorakenduste ja muude teenuste kasutajaid. Jaanuar 9.
BaFin ütles, et Godfather mõjutab umbes 400 krüptovaluuta- ja pangarakendust. Pahavara sihib täpsemalt 110 krüptovahetust, 94 krüptorahakotti ja 215 pangarakendust, selgub eraldi raportist Rühm IB detsembris.
Ristiisa varastab kasutajatelt sisselogimisandmeid, kuvades võltsitud sisselogimisaknaid tõeliste sisselogimisakende peale, pettes seeläbi kasutajaid oma andmeid jälgitavale vormile sisestama.
Ristiisa töötab ainult Android-seadmetes. See jäljendab Google Protecti, et ennast kehtestada. Seejärel kontrollib see Play poe allalaadimisi valevara suhtes ja peidab end installitud rakenduste loendist. Google Protecti jäljendades saab Godfather kasutada ka AccessibilityService'i, et saada seadmele veelgi juurdepääsu ja edastada andmeid ründajatele.
Ristiisa üritab konkreetselt jäljendada kasutaja seadmesse installitud rakendusi. Kuid see võib ka salvestada ekraani, käivitada klahvilogijad, suunata 2FA-koode sisaldavaid kõnesid, saata SMS-sõnumeid ja kasutada mitmesuguseid muid strateegiaid.
Kuigi Saksamaa hoiatas täna Ristiisa rünnakute eest, ei ole rünnakud selle riigiga isoleeritud. IB Group ütles oma aruandes, et Ristiisa on võtnud sihikule kasutajad 16 riigis, sealhulgas USA-s, Türgis, Hispaanias, Kanadas, Prantsusmaal ja Ühendkuningriigis. Muide, seadmed, mis on seadistatud kasutama teatud keeli, sealhulgas vene keelt, ei saa pahavara käivitada.
Group IB väitis, et Ristiisa levitati osaliselt pahatahtliku Google Play rakenduse kaudu. Siiski ütles turbeuuringute rühm, et üldiselt on "selguse puudumine", kuidas see konkreetne pahavara seadmeid nakatab.
Andmepüügi pahavara on üsna tavaline. Üks sarnane pahavara nn Marsi varastaja tekkis 2022. aastal ja teine helistas Raccoon nähtud 2021. aastal.
Andmepüüki saab aga sooritada ka kasutaja seadmeid nakatamata. Selliseid rünnakuid saab läbi viia ainult võltsitud e-kirjade ja veebisaitide loomisega, mis sarnanevad nende tegelikele kolleegidele – tuginedes pigem inimlikule veale kui ohustatud seadmetele.
Allikas: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/