Компания Cyble Research and Intelligence Labs опубликовала отчет о новейшей версии банковского троянца Godfather для Android, обнаруженной на фишинговом сайте, выдающем себя за официальный сайт MyGov правительства Австралии.
Godfather Trojan
Сайт «mygov-au[.]app» распространяет поддельный файл «MyGov.apk», который после установки начинает красть данные пользователя и связывается с командно-контрольным (C2) сервером по адресу «hxxps://az-inatv[.]com/». Теперь Godfather нацелен на 500 банковских и криптовалютных приложений, расширяя свой охват за пределы Великобритании, США и Европы до Японии, Сингапура, Греции и Азербайджана. Эта версия перешла на нативный код, что усложняет анализ, а для сбора учетных данных и автоматизации действий она полагается на службы доступности Android.
Процесс заражения Godfather включает в себя отслеживание количества установок и сбор IP-адресов устройств, что позволяет злоумышленникам уточнить целевую аудиторию. Он обращается к открытому каталогу на сервере C2, где хранятся данные о количестве устройств и IP-адреса, что свидетельствует о широком охвате. Троянец закрывает легитимные банковские или криптовалютные приложения и заменяет их фишинговыми страницами, обходя традиционный метод наложения и повышая эффективность кражи данных. Команды предыдущих версий, связанные с SMS-операциями, были удалены, вместо этого основное внимание уделяется автоматизации жестов для имитации действий пользователя.
Новая реализация Godfather, использующая меньшее количество разрешений, позволяет избежать обнаружения, расширяя свои возможности на большее количество стран и приложений. Эта разработка подчеркивает развитие мобильного вредоносного ПО и необходимость применения надежных методов безопасности для защиты от таких угроз.
Indicators of Compromise
Domains
- mygov-au.app
URLs
- https://akozamora.top/
- https://az-inatv.com
- https://t.me/gafaramotamer
MD5
- 87ccf62e07cf69c25a204bffdbc89630
SHA1
- e789b03b60ad99727ea65b52ce931482fb70814e
SHA256
- 0c9e2ae9c699374f06a6d38cf2ea41232fc8a712e110be8069b08659fdf50514
- 19ed4f67710d455da42017de28688f5e55ed36809cc70252d825ac81713e95d1
- 1ce2a392dd2c1df22dfeb080c7ad290d63e3afe983729927b2f15c6705861070
- 2b1b527b87929a13f0c33391c641b3013da099fd7de10695d762da097bc13ffc
- 3aa7e2353c2de16734f612eba7b43a2538d96f73702a6c25283d6ef0c9300a4c
- 72d40ff8ad114724b8d4e0350f81f797866c0f271844aeddc3b92f33faa6fbc0
- 7b4543cc4df1fc57af2cd9a892b2fab3647bdceb027d576217724a8c012a2065
- 8ae2fcc8bef4d9a0ae3d1ac5356dbd85a4f332ad497375cd217bd1e945e64692
- b3d3019ed0a4602fb7e502e54ac12a59da1a0ed7b6736feb98ce7c417091b2e6
- d508078368d8775fcfff5a7886392da57fcf757c89687f22c0504c3df9075b00
- d57ef894b53f804c97d40c3e365faf729ce2ea7386b280f9909ebc8432008eee
- d8165712329fa120b5cc696514b5dd0d7043fbf7d6b6ef5f767348e0ba31aa6e
