Android-троян, атакующий банковские приложения, распространялся через Google Play

Эксперты по кибербезопасности обнаружили банковского Android-трояна, атакующего пользователей популярных финансовых сервисов. География его жертв охватывает 16 стран мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков.

Согласно исследованию Group-IB, жертвами трояна Godfather стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу. Предположительно, разработчиками Godfather являются, русскоязычные злоумышленники.

Особенно опасным зловреда делает то, что он распространялся через официальный магазин Google Play под видом легальных криптоприложений. В основе Godfather лежит одна из версий хорошо известного банковского трояна Anubis.

После запуска приложение предлагало пользователю проверить безопасность смартфона - якобы запускалось стандартное приложение Google Protect - однако после показа 30 секундной анимации, появлялось сообщение, что никаких вредоносных приложений не найдено.

Опасный вирус можно скачать как абсолютно легальное приложение для Android

В это время Godfather устанавливал себя в автозапуск, скрывал иконку из списка установленных приложений, а самое главное - получал права к AccessibilityService (это одна из функций Android для пользователей, имеющих ограниченные возможности). Благодаря этому Godfather мог вести запись экрана зараженного устройства, запускать "клавиатурный шпион" - keylogger, рассылать SMS-сообщения и выполнять USSD-запросы и тд.

И как только пользователь запускает приложение банка, криптобиржи или электронного кошелька, Godfather подсовывает ему фальшивую страницу. Все введенные в эти страницы данные, в том числе логины и пароли - отправлялись злоумышленникам. Одна из особенностей Godfather в том, что его командный сервер находится в описании Telegram-канала (техника получения С2 адреса из Telegram-канала ранее использовалась в некоторых версиях Anubis).

"Несмотря на то, что безопасность мобильных приложений и самих операционных систем стремительно развивается, банковские Android-трояны рано списывать со счетов, - уверен Артем Грищенко, младший специалист по анализу вредоносного кода, Group-IB. - Мы по-прежнему видим их высокую активность и широкое распространение модификаций троянов, исходный код которых был опубликован в публичном доступе, самый яркий пример - банкер Godfather. Этот троян наносит ущерб не только пользователям, но и всему финансовому сектору. Киберпреступники сейчас ограничены только своей фантазией и способностью создавать убедительные веб-подделки конкретных финансовых приложений".