21 Desember 2022Ravi LakshmananKeamanan Seluler / Trojan Perbankan

Trojan perbankan Android yang dikenal sebagai ayah tiri Ini digunakan untuk menargetkan pengguna lebih dari 400 perbankan dan mata uang digital di 16 negara.

Ini termasuk 215 bank, 94 penyedia dompet kripto, dan 110 platform pertukaran kripto yang melayani pengguna di Amerika Serikat, Turki, Spanyol, Italia, Kanada, dan Kanada menyediakan layanan. .

Malware ini, seperti banyak trojan keuangan yang menargetkan ekosistem Android, mencoba mencuri kredensial pengguna dengan membuat halaman overlay yang meyakinkan (dikenal sebagai spoof web) yang disajikan di atas aplikasi target.

GodFather Android Banking Trojan menargetkan pengguna lebih dari 400 aplikasi perbankan dan crypto

Ini pertama kali diidentifikasi oleh Group-IB pada Juni 2021 dan Itu diungkapkan secara terbuka Oleh ThreatFabric pada Maret 2022 GodFather juga memiliki fitur pintu belakang asli yang memungkinkannya mengeksploitasi API Aksesibilitas Android untuk merekam video, merekam penekanan tombol, mengambil tangkapan layar, dan mengekstrak log SMS dan panggilan.

Trojan perbankan Android

Analisis grup-IB dari malware mengungkapkan bahwa itu adalah penerus Anubis, Trojan perbankan lain yang kode sumbernya bocor di forum bawah tanah pada Januari 2019. Itu juga dikatakan didistribusikan di antara pelaku ancaman lainnya melalui malware. model layanan (MaaS).

Kemiripan antara kedua keluarga malware meluas ke metode mendapatkan alamat perintah dan kontrol (C2), menjalankan perintah C2, dan modul web, proxy, dan tangkapan layar palsu. Namun, fitur perekaman suara dan pelacakan lokasi telah dihapus.

“Menariknya, Dewa Bapa dibebaskan dari pengguna dari negara-negara pasca-Soviet,” kata Group-IB. “Jika pengaturan sistem korban yang mungkin menyertakan salah satu bahasa di wilayah itu, Trojan akan dinonaktifkan. Ini dapat menunjukkan bahwa pengembang GodFather berbahasa Rusia.”

Apa yang membedakan Allah Bapa adalah kenyataan bahwa ia mengambil alamat server perintah dan kontrol (C2) dengan mendekripsi deskripsi saluran Telegram yang dikendalikan aktor yang disandikan menggunakan cipher Blowfish.

Trojan perbankan Android

Metode pasti yang digunakan untuk menginfeksi perangkat pengguna tidak diketahui, meskipun pemeriksaan infrastruktur perintah dan kontrol (C2) aktor ancaman mengungkapkan program dropper Trojan sebagai salah satu vektor distribusi potensial.

Ini didasarkan pada alamat C2 yang ditautkan ke aplikasi bernama Konverter Mata Uang (com.plus.currencyconverter) yang dihosting di Google Play Store per Juni 2022. Program yang diinginkan tidak lagi tersedia untuk diunduh.

Artefak lain yang diselidiki oleh Group-IB adalah tipuan dari layanan Google Play Protect yang sah, yang, saat diluncurkan, menghasilkan pemberitahuan terus-menerus dan menyembunyikan ikonnya dari daftar aplikasi yang dipasang.

Temuan itu muncul saat Cyble mengungkap sejumlah contoh The Godfather, yang dirancang sebagai aplikasi MYT Müzik untuk pengguna Turki.

GodFather bukan satu-satunya malware Android berbasis Anubis. Pada awal Juli, ThreatFabric mengungkapkan bahwa versi modifikasi dari Anubis disebut Elang Itu telah menargetkan pengguna Rusia dengan menyamar sebagai bank VTB milik negara.

“Munculnya GodFather menggarisbawahi kemampuan pelaku ancaman untuk mengedit dan memperbarui alat mereka untuk menjaga keefektifannya meskipun ada upaya dari penyedia deteksi dan pencegahan malware untuk memperbarui produk mereka,” kata peneliti Group-IB Artem Grischenko.

“Dengan alat seperti Godfather, pelaku ancaman hanya dibatasi oleh kemampuan mereka untuk membuat web palsu yang meyakinkan untuk program tertentu. Terkadang, sekuelnya sebenarnya bisa lebih baik dari aslinya.”

Apakah artikel ini menarik? Ikuti kami Indonesia dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.