Group-IB 分析师发现了新的活跃 Android 恶意软件。受洗«教父»(«教父»法语),该恶意软件旨在窃取«登录凭证 »某些银行和金融应用程序。由于数据被盗,黑客显然试图从帐户和应用程序中的用户那里窃取资金。
臭名昭著的阿努比斯的继承者
经过调查,研究人员发现两者之间存在关系«教父»等«阿努比斯»,一个特洛伊木马,其源代码于2019年泄露。在被谷歌的安全措施击败之前,恶意软件对 Android 造成严重破坏。它曾多次成功渗透到 Play 商店中的应用程序中。一旦安装在受害者的手机上,Anubis 就会快速清理设备的所有数据,例如地理位置或 IMEI 号码,并请求访问某些功能,包括摄像头和麦克风。
研究人员称教父恶意软件背后的黑客 很大程度上基于阿努比斯代码。我们发现许多相似之处两种病毒的功能。然而,该软件已经增加了新的武器来绕过 Android 的最新防御。教父于 2021 年 6 月首次出现。据 Group-IB 报道,经过几个月的活动,该恶意软件从雷达中消失,然后于 2022 年 9 月卷土重来。
超过 400 个 Android 应用程序成为目标
自从回归前线后,《教父》的目标就是超过 400 个 Android 应用程序属于金融机构。该恶意软件主要针对银行,目标有 215 个银行应用程序。研究人员表示,20 家法国银行尤其成为黑客的攻击目标。该报告没有具体说明受影响企业的名称。
该木马还旨在抢劫加密货币持有者。根据 Group-IB 的说法,Godfather 有能力窃取来自94个数字钱包和110个加密货币交易平台。如果您通过 Android 应用程序存储加密资产,我们建议您格外小心。
恶意软件设置的陷阱
为了诱骗网民,教父冒充Google Play 保护,扫描所有已安装应用程序的安全服务。该病毒会伪装成合法的安全系统,请求大量授权。阿努比斯这样做也是为了消除受害者的不信任。
“动画显示了所谓的 Google Play Protect“活动”,但“扫描仪”什么也没做,而是教父将自己扎根到设备中”,解释了 Group-IB 报告。
有了这些权限,它将收集短信、通知、联系人、通话记录和内存中存储的数据。最重要的是,教父将授予自己在用户不知情的情况下截取屏幕截图的权利。这个提示“允许从合法应用程序中窃取用户输入数据”,IB 集团警告。非常全面,恶意软件也可以部署虚假通知将用户转发到钓鱼网站。所有这些方法都允许黑客实现他们的目标并收集登录凭据。
“通过模仿 Google Play Protect,Godfather 可以轻松地在受感染的设备上不被检测到”,警告该公司。
恶意软件潜伏在 Play 商店中
Group-IB 研究人员在 Play 商店的两个看似无害的 Android 应用程序的代码中发现了该恶意软件。接到专家警告后,谷歌立即禁止其商店中的这些应用程序。与此同时,美国安全专家循环还确定了 Play 商店中存在《教父》。
该病毒隐藏在面向土耳其互联网用户的应用程序 MYT Müzik 中。在被谷歌删除之前,它积累了下载量超过 1000 万次。请注意,黑客还会通过广告在替代商店或直接在网络上部署病毒。
来源 : IB组
