Godfather Banking Trojan se expande para infectar mais países europeus

O que foi encontrado

Recentemente , a equipe de pesquisa de ameaças do EclecticIQ 

detectou amostras de Godfather imitando aplicativos do Google Protect e enganando os usuários fazendo-os acreditar que estão protegidos por um serviço Android. As organizações afetadas estão no Canadá, EUA, França, Alemanha, Espanha, Turquia e Reino Unido

• Se o trojan detectar que os pacotes de idiomas do dispositivo são comuns à Comunidade de Estados Independentes (CEI), ele será encerrado. (O recurso sugere que o trojan é possivelmente desenvolvido por um hacker russo.)
• O trojan é comumente instalado por meio de pacotes de aplicativos maliciosos carregados na loja de aplicativos.
• As amostras mais recentes do trojan bancário Godfather foram carregadas no VirusTotal como uma isca do Google Protect.

Como funciona

• Após a infecção bem-sucedida, o Godfather obtém as permissões para o Serviço de Acessibilidade e coleta o agente do usuário padrão, código do país da operadora de rede, ID do Bot, lista de aplicativos instalados, versão do Android, modelo do dispositivo e outros.
• Ele estabelece conexões VNC para gravar a tela, usa um keylogger para coletar as teclas digitadas em todos os aplicativos Android, exfiltra notificações push e encaminha chamadas telefônicas para ignorar o 2FA.
• Godfather realiza transferências de dinheiro fazendo chamadas USSD sem usar uma GUI. Além disso, ele envia SMS de dispositivos e inicia servidores proxy para conexões C2.

Conclusão

Godfather trojan é um excelente exemplo de um trojan bancário em evolução direcionado a usuários do Android em todo o mundo. Os especialistas recomendam baixar aplicativos apenas por meio de fontes verificadas. Os usuários devem estar cientes de permitir quaisquer permissões em um aplicativo e certificar-se de que o Play Protect esteja ativado em dispositivos Android.

Fonte: https://cyware.com/