Godfather Trojan IOCs

remote access Trojan IOC

Group-IB обнаружили в официальном магазине Google Play банковского трояна Godfather, где вредонос маскируется под легальные криптоприложения. География его жертв охватывает 16 стран мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков.

Godfather Trojan

  • Ведет запись экрана зараженного устройства;
  • Активирует VNC-подключение;
  • Запускает keylogger;
  • Эксфильтрация Push уведомлений (используется для обхода 2-FA). В первых версиях выполнялась также эксфильтрация SMS;
  • Переадресует вызовы (также используется для обхода 2-FA);
  • Выполняет USSD-запросы;
  • Рассылает SMS-сообщения с зараженного устройства;
  • Запускает Proxy-сервера;
  • Выполняет Websocket-подключения (добавлено в новой версии Godfather от сентября 2022 года).

Indicators of Compromise

URLs

  • http://168.100.9.86/
  • http://45.61.138.60/
  • http://50.18.3.26/
  • http://heikenmorgan.com/
  • https://banerrokutepera.com/
  • https://henkormerise.com/

SHA256

  • 0b72c22517fdefd4cf0466d8d4c634ca73b7667d378be688efe131af4ac3aed8
  • 38386f4fabd0bc7f7065eaee818717e89772fb3b1a3744df754c45778e353f70
  • 7664293fc1dde797940d857d1f16eb1e12a15b9126d704854f97df1bedc18758
  • 9815ba07d0a2528c11d377b583243df24218a48c6a4f839f40769ea290555070
  • 9dfb5b4ad9aac36c2d7fbb93f8668faa819cb0df16f4a55d00f1cdda89c9a6d2
  • a14aad1265eb307fbe71a3a5f6e688408ce153ff19838b3c5229f26ee3ece5dd
  • b6249fa996cb4046bdab37bab5e3b4d43c79ea537f119040c3b3e138149897fd
  • c3dadb9a593523d1bf3fe76dabf375578119aff3110d92a1a4ee6db06742263a
  • c4bace10849f23e9972e555ac2e30ac128b7a90017a0f76c197685a0c60def6d
  • c79857015dbf220111e7c5f47cf20a656741a9380cc0faecd486b517648eb199
  • d652ac528102de3ebb42a973db639ae27f13738e005172e5ff8aac6e91f3f760
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий