«Крестный отец» атаковал банки и криптокошельки

Троян похищает данные для входа в приложение и выводит деньги пользователя
gettyimages

Эксперты Group-IB предупредили о новом банковском трояне – вредоносном приложении Godfather («Крестный отец»), которое атакует пользователей в 16 странах мира.

«Согласно новому исследованию Group-IB, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов», – сообщила пресс-служба компании. Godfather нацелен на смартфоны на ОС Android. Вирус маскируется под одно из приложений в Play Market, криптокалькулятор шпионит за работой смартфона жертвы, и как только та заходит в приложение своего банка, ворует ее логин и пароль, после чего выводит деньги со счета, уточнил «Ведомостям» представитель компании. Данных об общей сумме похищенных у пользователей средств, а также названий банков, пользователи которых подверглись нападению, он не привел.

«Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу», – отмечают в Group-IB. В компании связывают это с тем, что разработчиками Godfather могут быть русскоязычные злоумышленники. 

Впервые активность Godfather заметили в июне 2021 г. В июне 2022 г. он перестал функционировать, но в сентябре 2022 г. Godfather вернулся, уже с измененным функционалом. По данным Group-IB, в основе Godfather лежит одна из версий другого банковского трояна Anubis,  чей исходный код был обнародован еще в 2019 г. Разработчики Godfather модернизировали его под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.

О работе трояна Godfather слышали и другие эксперты по информационной безопасности. «Это даже не один троян, это семейство троянов, которые созданы по одним лекалам», – обращает внимание технический директор АО «Синклит» Лука Сафонов. Пока Godfather не очень распространен, констатирует эксперт. В то же время, поскольку перевод средств из-за рубежа в РФ в настоящий момент осложнен, в России активность подобного рода хакеров, атакующих пользователей за границей, снижается, добавляет Сафонов.

Первые образцы вируса известны с конца 2021 г., самые свежие версии датируются серединой декабря 2022 г., добавляет руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков. 

По его словам, в течение этого периода вирус не претерпел существенных изменений в наборе своих функций: в частности, крадет SMS-сообщения, перенаправляет звонки на другой телефон, переводит денежные средства с помощью USSD-вызовов и др., добавляет он.

Поскольку троян для своего распространения маскируется под турецкое приложение, можно предположить, что он нацелен преимущественно на пользователей Турции, добавляет эксперт по кибербезопасности в «Лаборатории Касперского» Татьяна Шишкова.

Со своей стороны Group-IB, помимо стандартных рекомендаций не переходить по подозрительным ссылкам и не скачивать что-либо со сторонних источников, рекомендует пользователям чаще проверять обновления своего смартфона: последние версии Android менее восприимчивы к атакам злоумышленников. Также рекомендуется следить за используемыми приложениями разрешениями. Например, в случае с Godfather криптокалькулятор, под который он маскировался, требовал разрешения на доступ к функциям управления устройством для людей с ограниченными возможностями.