O trojan bancário voltado para dispositivos Android e batizado de Godfather está sendo utilizado para realizar ataques em instituições bancárias de todo o mundo. Ao todo foram identificados mais de 400 aplicativos bancários em 16 países.
A descoberta foi feita pela empresa de segurança cibernética, Group-IB que identificou o trojan pela primeira vez em junho de 2021. Conforme relatam os pesquisadores, o Godfather é capaz de roubar credenciais bancárias e de exchanges de criptomoedas.
Leia mais:
- Hackers usam extensão do Chrome para tomar controle e espionarem computadores
- Brasileiros em perigo: malware rouba contas e faz transações em apps bancários
- Descoberta nova forma de burlar firewalls
A lista de empresas afetadas inclui 49 dos Estados Unidos, 31 da Turquia e 30 da Espanha. Instituições do Canadá, França, Alemanha, Reino Unido, Itália e Polônia também foram afetadas.
“Curiosamente, Godfather poupa usuários em países pós-soviéticos. Se as preferências do sistema da vítima em potencial incluírem um dos idiomas dessa região, o cavalo de Tróia será encerrado. Isso pode sugerir que os desenvolvedores do Godfather usam o idioma russo”, disse o Godfather.
Ao todo as vítimas do trojan bancário, inclui 215 bancos internacionais, 94 carteiras de criptomoedas e 110 plataformas de troca de criptomoedas (exchanges).
Os pesquisadores identificaram que o trojan utiliza web fakes, páginas falsas criadas sobrepostas em aplicativos legítimos. Essas páginas aparecem após o usuário clicar em notificações falsas nos aplicativos afetados pelo Godfather.
Confira outras práticas do Godfather apontadas pelo Group-IB:
- Gravando a tela do dispositivo da vítima
- Estabelecendo conexões VNC
- Iniciando keyloggers
- Exfiltração de notificações push (para ignorar a autenticação de dois fatores); versões anteriores do cavalo de Tróia também exfiltraram mensagens SMS
- Encaminhamento de chamadas (para ignorar a autenticação de dois fatores)
- Executando solicitações USSD
- Envio de mensagens SMS de dispositivos infectados
- Iniciando servidores proxy
- Estabelecendo conexões WebSocket (adicionado à nova versão de setembro de 2022 do Godfather)
A empresa de cibersegurança ainda observa que o Godfather é baseado em um trojan bancário já conhecido, o Anubis:
“Os desenvolvedores do Godfather usaram o código-fonte do Anubis como base e o modernizaram para versões mais recentes do Android, adicionando recursos relevantes e removendo outros, como criptografia de arquivos.”
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: