Банковият малуер с име Godfather бе открит в официалния магазин за приложения Google Play, където е скрит под формата на обикновено приложение за работа с криптовалути. "Кръстникът" се оказа много опасен, понеже обхваща 16 държави от целия свят, а негови цели са 400 най-различни банки, криптовалутни борси и електронни портфейли. Целта на Godfather е кражбата на идентификационните данни за тези общо около четиристотин сайта за онлайн банкиране, които предлагат както обикновени финансови, така и криптовалутни услуги.

Изданието BleepingComputer уточнява, че негови жертви са станали потребителите на 215 международни банкови институции, 94 криптовалутни портфейла и 110 мащабни проекта за работа с цифрова валута. Най-голяма интензивност на атаките е фиксирана в Съединените Щати (49), Турция (31), Испания (30), Канада (22), Франция (20), Германия (19) и Великобритания (17). Интересно е, че този Android троянец е конфигуриран да проверява какъв е езикът на интерфейса на Android и спира работата си, ако открие локация на руски, азербайджански, арменски, беларуски, казахски, киргизки, молдовски, узбекски и таджикски език. Това означава, че Godfather най-вероятно е създаден от руски хакери, живеещи на територията на Общността на независимите държави (ОНД).

Godfather за първи път е засечен през 2021 г. Една година по-късно, през месец март 2022-ра, експертите по информационна безопасност на Threat Fabric публично споменаха този банков малуер, но след два месеца неговата активност изцяло се прекрати, а неговите оператори се скриха. И ето, че през месец септември тази година Godfather се завърна, нос с доста променена функционалност.

Специалистите на Group-IB съобщиха, че тази версия на Godfather се базира на много добре познатия банков троянец Anubis, сорс кодът на който изтече в отворен достъп още през 2019 г. С излизането на новите версии на мобилната ОС Android повечето възможности на Anubis престанаха да функционират, но е явно, че хакерите са продължили да работят върху него и да го усъвършенстват. Днес неговият код е модернизиран за новите версии на Android, като едновременно с това е усъвършенстван механизмът за противодействие на антивирусните защити.

Godfather се разпространява по същия начин, като Anubis. Зареждащата програма на Godfather е вмъкната в уж безобидно приложение – калкулатор за криптовалути, което се предлага в магазина Google Play. След стартирането си това приложение предлага на потребителя преди да започне да работи с каквито и да било криптовалути, да провери информационната безопасност на своя смартфон. Това става чрез пълната имитация работата на стандартното приложение Google Protect, като след 30 секундна анимация се появява съобщение, че нищо опасно не е намерено

Само че през това време се изтеглят модулите на Godfather, малуерът се отбелязва за автоматично стартиране, но неговата иконка се скрива от списъка с приложенията за деинсталиране. Но най-главното е, че той успява да получи разрешение за използването на AccessibilityService – една от функциите на Android за потребители с ограничени възможности.

В крайна сметка Godfather може да записва всичко, което се случва на екрана на мобилното устройство, работи като кейлогър, може да изпраща SMS съобщения, да извършва USSD заявки, да активира отдалечена VNC сесия, да прихваща push уведомленията за справяне с двуфакторната автентификация и други. Действията на Godfather са следните: веднага след като потребителят стартира своето приложение за онлайн банкиране или отвори уеб сайта на своята банка, малуерът му показва фалшиви програмни прозорци, идентични с оригиналните. В резултат от това, всички въведени от потребителя данни във фалшивите прозорци – потребителски имена, пароли и друга чувствителна информация се изпращат на хакерите.

Съветите за предпазване от Godfather са следните: изтегляйте приложения единствено от Google Play, поддържайте своето Android устройство винаги актуално с инсталирани най-новите обновявания по безопасността, уверете се, че Play Protect е активен и не инсталирайте прекалено много приложения, които едва ли ще използвате.