Varias firmas de ciberseguridad han confirmado la existencia de Godfather, un malware bancario para Android que se encontró apuntando a las cuentas bancarias y de criptomonedas de la víctima.
Los expertos de Group-IB, ThreatFabric y Cyble informaron recientemente sobre Godfather, sus objetivos y metodologías, en los que el malware intenta robar datos de inicio de sesión al superponer aplicaciones bancarias y de criptomonedas legítimas (intercambios, billeteras, etc.).
El grupo descubrió que El Padrino se había dirigido a más de 400 entidades diferentes, la mayoría de ellas en los Estados Unidos (49), Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19) y el Reino Unido (17).
Varios vectores de infección
Además, el malware analiza el terminal que ha infectado y si determina que el idioma del dispositivo es ruso, azerí, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko, cierra toda la operación, lo que lleva a algunos de los los investigadores a creer que los actores de la amenaza son de origen ruso.
Es imposible determinar el número exacto de dispositivos infectados, ya que Play Store no es el único vector de infección. De hecho, el malware ha tenido una distribución relativamente limitada a través del Repositorio de aplicaciones de Google y aún no se han descubierto los principales canales de distribución. Lo que sí sabemos de la investigación de Cyble es que una de las aplicaciones maliciosas tiene más de 10 millones de descargas en su haber.
Pero cuando una víctima descarga el malware, primero tiene que darle permisos, por eso en algunos casos imita a "Google Protect" y pide acceso al servicio de accesibilidad. Si la víctima proporciona, el malware se hace cargo de los SMS y las notificaciones, comienza a grabar la pantalla, extrae contactos y listas de llamadas, etc.
Al habilitar el Servicio de accesibilidad, el malware se vuelve aún más difícil de eliminar y también permite a los piratas informáticos filtrar las contraseñas de un solo uso de Google Authentication.
Los investigadores también dijeron que el malware tiene módulos adicionales que se pueden agregar, lo que le brinda funcionalidad adicional, como iniciar un servidor VNC, habilitar el modo silencioso, establecer una conexión WebSocket u oscurecer la pantalla.
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)