Group-IB 分析師發現了新的活躍 Android 惡意軟體。受洗«教父»(«教父»法文),該惡意軟體旨在竊取«登入憑證 »某些銀行和金融應用程式。由於資料被盜,駭客顯然試圖從帳戶和應用程式中的用戶那裡竊取資金。
臭名昭著的阿努比斯的繼承者
經過調查,研究人員發現兩者之間存在關係«教父»等«阿努比斯»,一匹特洛伊木馬,其原始碼於2019年洩露。在被谷歌的安全措施擊敗之前,惡意軟體對 Android 造成嚴重破壞。它曾多次成功滲透到 Play 商店中的應用程式。一旦安裝在受害者的手機上,Anubis 就會快速清理設備的所有數據,例如地理位置或 IMEI 號碼,並要求存取某些功能,包括相機和麥克風。
研究人員稱教父惡意軟體背後的駭客 很大程度上基於阿努比斯程式碼。我們發現許多相似之處兩種病毒的功能。然而,該軟體已經增加了新的武器來繞過 Android 的最新防禦。教父於 2021 年 6 月首次出現。
超過 400 個 Android 應用程式成為目標
自從回歸前線後,《教父》的目標就是超過 400 個 Android 應用程式屬於金融機構。該惡意軟體主要針對銀行,目標有 215 個銀行應用程式。研究人員表示,20 家法國銀行尤其成為駭客的攻擊目標。該報告沒有具體說明受影響企業的名稱。
該木馬還旨在搶劫加密貨幣持有者。根據 Group-IB 的說法,Godfather 有能力竊取來自94個數位錢包和110個加密貨幣交易平台。如果您透過 Android 應用程式儲存加密資產,我們建議您格外小心。
惡意軟體設定的陷阱
為了誘騙網民,教父冒充Google Play 保護,掃描所有已安裝應用程式的安全服務。該病毒會偽裝成合法的安全系統,並要求大量授權。阿努比斯這樣做也是為了消除受害者的不信任。
“動畫顯示了所謂的 Google Play Protect“活動”,但“掃描器”什麼也沒做,而是教父將自己紮根到設備中”,解釋了 Group-IB 報告。
有了這些權限,它將收集簡訊、通知、聯絡人、通話記錄和記憶體中儲存的資料。最重要的是,教父將授予自己在用戶不知情的情況下截取螢幕截圖的權利。這個提示“允許從合法應用程式竊取用戶輸入資料”,IB 集團警告。非常全面,惡意軟體也可以部署虛假通知將使用者轉發到釣魚網站。所有這些方法都允許駭客實現他們的目標並收集登入憑證。
“透過模仿 Google Play Protect,Godfather 很容易在受感染的裝置上不被注意到”,警告該公司。
惡意軟體潛伏在 Play 商店中
Group-IB 研究人員在 Play 商店的兩個看似無害的 Android 應用程式的程式碼中發現了該惡意軟體。在接到專家的警告後,谷歌立即在其商店中禁止了這些應用程式。同時,美國安全專家循環也確定了 Play 商店中存在《教父》。
該病毒隱藏在針對土耳其網路使用者的應用程式 MYT Müzik 中。在被谷歌刪除之前,它累積了下載量超過 1000 萬次。請注意,駭客也會透過廣告在替代商店或直接在網路上部署病毒。
來源 : IB組
