Múltiples firmas de ciberseguridad han confirmado la existencia de Godfather, un malware bancario para Android que se ha encontrado apuntando a las cuentas bancarias y de criptomonedas de las víctimas.
Los expertos de Group-IB, ThreatFabric y Cyble informaron recientemente sobre Godfather, sus objetivos y metodologías, en los que el malware intenta robar datos de inicio de sesión superponiendo aplicaciones bancarias y de criptomonedas legítimas (intercambios, billeteras y similares).
El grupo descubrió que Godfather se ha dirigido a más de 400 entidades diferentes, la mayoría de ellas en EE. UU. (49), Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19), y el Reino Unido (17).
Múltiples vectores de infección
Además, el malware analiza el endpoint que infectó y, si determina que el idioma del dispositivo es ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko, cierra toda la operación, lo que lleva a algunos de los los investigadores a creer que los actores de la amenaza son de origen ruso.
Es imposible determinar el número exacto de dispositivos infectados, ya que Play Store no es el único vector de infección. De hecho, el malware ha tenido una distribución relativamente limitada a través del repositorio de aplicaciones de Google y aún no se han descubierto los principales canales de distribución. Lo que sí sabemos, cortesía de la investigación de Cyble, es que una de las aplicaciones maliciosas tiene más de 10 millones de descargas en su haber.
Pero cuando una víctima descarga el malware, primero debe otorgarle permisos, por lo que, en algunos casos, imita a «Google Protect» y exige acceso al Servicio de Accesibilidad. Si la víctima proporciona, el malware se hace cargo de los mensajes de texto y las notificaciones, comienza a grabar la pantalla, extrae contactos y listas de llamadas, y más.
Al activar el Servicio de accesibilidad, el malware también se vuelve aún más difícil de eliminar y permite a los actores de amenazas exfiltrar las contraseñas de un solo uso de Google Authentication.
Los investigadores también dijeron que el malware tiene módulos adicionales que se pueden agregar, lo que le brinda funciones adicionales, como iniciar un servidor VNC, habilitar el modo silencioso, establecer una conexión WebSocket o atenuar la pantalla.
Vía: BleepingComputer (se abre en una pestaña nueva)