Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El malware bancario GodFather para Android roba datos bancarios
12 de enero de 2023 - Equipo de RRPP de TuxCare
Investigadores de Cyble Research & Intelligence Labs (CRIL) han descubierto el malware GodFather, una nueva versión del troyano bancario para Android.
Este malware se ha infiltrado en más de 400 aplicaciones bancarias y de criptomoneda en 16 países. Group-IB descubrió el troyano en junio de 2021 y ThreatFabric hizo pública la información en marzo de 2022.
Puede aparecer como la pantalla de inicio de sesión en la parte superior de los foros de inicio de sesión de aplicaciones para sitios web bancarios y de intercambio de criptomonedas. Cuando un usuario introduce sus credenciales, la información se envía a los hackers en lugar de al sitio web oficial.
En 16 países, el malware para Android se dirige a páginas de banca en línea y bolsas de criptomonedas. Muestra pantallas de inicio de sesión falsas sobre aplicaciones legítimas. GodFather es utilizado por las amenazas para robar credenciales de cuentas. GodFather también puede robar SMS, información del dispositivo y otros datos.
Ha atacado 215 aplicaciones bancarias, la mayoría de ellas en Estados Unidos (49), Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19) y Reino Unido (17). El malware Godfather también ataca 110 plataformas de intercambio de criptomonedas y 94 aplicaciones de monederos de criptomonedas.
El malware se distribuye a varios actores de amenazas a través de plataformas de malware como servicio y se oculta en aplicaciones de Google Play. Estas aplicaciones parecen legítimas, pero contienen una carga útil que aparenta estar protegida por Google Protect. Cuando una víctima interactúa con una notificación falsa o intenta iniciar una de estas aplicaciones, el malware muestra una superposición web falsa y comienza a robar nombres de usuario y contraseñas, así como códigos 2FA basados en SMS.
Según los investigadores, una vez instalado en el dispositivo de la víctima, GodFather inicia una serie de comportamientos típicos de los troyanos bancarios, como el robo de credenciales bancarias y de intercambio de criptomonedas. Sin embargo, también roba datos confidenciales como SMS, detalles básicos del dispositivo, incluidos los datos de las aplicaciones instaladas, y el número de teléfono del dispositivo, y puede llevar a cabo una serie de acciones nefastas en segundo plano.
Para evitar ser detectadas por el software antivirus, las muestras de GodFather analizadas están cifradas mediante técnicas de cifrado personalizadas. Cuando los investigadores de seguridad instalaron esta aplicación en un dispositivo de prueba, observaron que tiene un icono y un nombre similares a los de una aplicación legítima llamada MYT Music. Esta aplicación legítima está disponible en Google Play y ha recibido más de 10 millones de descargas.
GodFather también muestra páginas de inicio de sesión falsas para aplicaciones legítimas de panificación y cambio de criptomonedas. Estas páginas de phishing se utilizan para robar contraseñas como información de inicio de sesión como nombres de usuario, ID de cliente, contraseñas, etc. GodFather tiene como objetivo más de 200 aplicaciones bancarias, más de 100 plataformas de intercambio de criptodivisas y 94 aplicaciones de monederos de criptodivisas.
GodFather busca en la lista de aplicaciones del dispositivo de la víctima formularios de inicio de sesión falsos que coincidan. Si la víctima tiene aplicaciones bancarias o de intercambio de criptomonedas que no están en la lista de GodFather, el malware grabará la pantalla para capturar las credenciales de inicio de sesión introducidas.
Las fuentes de este artículo incluyen un artículo en HackRead.
