Group-IB обнаружили в официальном магазине Google Play банковского трояна Godfather, где вредонос маскируется под легальные криптоприложения. География его жертв охватывает 16 стран мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков.
Godfather Trojan
- Ведет запись экрана зараженного устройства;
- Активирует VNC-подключение;
- Запускает keylogger;
- Эксфильтрация Push уведомлений (используется для обхода 2-FA). В первых версиях выполнялась также эксфильтрация SMS;
- Переадресует вызовы (также используется для обхода 2-FA);
- Выполняет USSD-запросы;
- Рассылает SMS-сообщения с зараженного устройства;
- Запускает Proxy-сервера;
- Выполняет Websocket-подключения (добавлено в новой версии Godfather от сентября 2022 года).
Indicators of Compromise
URLs
- http://168.100.9.86/
- http://45.61.138.60/
- http://50.18.3.26/
- http://heikenmorgan.com/
- https://banerrokutepera.com/
- https://henkormerise.com/
SHA256
- 0b72c22517fdefd4cf0466d8d4c634ca73b7667d378be688efe131af4ac3aed8
- 38386f4fabd0bc7f7065eaee818717e89772fb3b1a3744df754c45778e353f70
- 7664293fc1dde797940d857d1f16eb1e12a15b9126d704854f97df1bedc18758
- 9815ba07d0a2528c11d377b583243df24218a48c6a4f839f40769ea290555070
- 9dfb5b4ad9aac36c2d7fbb93f8668faa819cb0df16f4a55d00f1cdda89c9a6d2
- a14aad1265eb307fbe71a3a5f6e688408ce153ff19838b3c5229f26ee3ece5dd
- b6249fa996cb4046bdab37bab5e3b4d43c79ea537f119040c3b3e138149897fd
- c3dadb9a593523d1bf3fe76dabf375578119aff3110d92a1a4ee6db06742263a
- c4bace10849f23e9972e555ac2e30ac128b7a90017a0f76c197685a0c60def6d
- c79857015dbf220111e7c5f47cf20a656741a9380cc0faecd486b517648eb199
- d652ac528102de3ebb42a973db639ae27f13738e005172e5ff8aac6e91f3f760