技術支援
文件
登錄
聯繫我們
教父安卓銀行惡意軟體竊取銀行詳細資訊
奧班拉·奧佩耶米
實施期間: 2023年1月12 日 - TuxCare專家團隊
Cyble Research & Intelligence Labs(CRIL)的研究人員發現了GodFather惡意軟體,這是Android銀行木馬的新版本。
該惡意軟體已滲透到16個國家/地區的400多個加密貨幣和銀行應用程式中。Group-IB 於 2021 年 6 月發現了該木馬,ThreatFabric 於 2022 年 3 月公開了該資訊。
它可以顯示為銀行和加密貨幣交換網站的應用程式登錄論壇頂部的登錄螢幕。當使用者輸入他或她的憑據時,資訊將發送到駭客而不是官方網站。
在 16 個國家 / 地區,Android 惡意軟體以網上銀行頁面和加密貨幣交易所為目標。它在合法應用程式上顯示虛假登錄螢幕。威脅行為者使用教父來竊取帳戶憑據。教父還可以竊取簡訊、設備資訊和其他數據。
它針對215個銀行應用程式,其中大部分位於美國(49),土耳其(31),西班牙(30),加拿大(22),法國(20),德國(19)和英國(17)。教父惡意軟體還針對 110 個加密貨幣交易平臺和 94 個加密貨幣錢包應用程式。
該惡意軟體通過惡意軟體即服務平臺分發給各種威脅參與者,並隱藏在Google Play應用程式中。這些應用程式似乎是合法的;但是,它們包含一個偽裝成受谷歌保護的有效載荷。當受害者與虛假通知交互或嘗試啟動這些應用程式之一時,惡意軟體會顯示虛假的網路覆蓋並開始竊取使用者名和密碼以及基於SMS的2FA代碼。
研究人員表示,一旦安裝在受害者的設備上,GodFather 就會開始一系列典型的銀行木馬行為,包括竊取銀行和加密交換憑據。但是,它也會竊取敏感數據,例如簡訊、基本設備詳細資訊(包括來自已安裝應用程式的數據)以及設備的電話號碼,並且可以在後台執行各種惡意操作。
為了避免被防病毒軟體檢測到,分析的 GodFather 樣本使用自定義加密技術進行加密。當安全研究人員在測試設備上安裝此應用程式時,他們注意到它有一個圖示和一個名稱,類似於名為MYT Music的合法應用程式。這個合法的應用程式可在Google Play上使用,並已獲得超過1000萬次下載。
教父還顯示合法烘焙和加密貨幣交換應用程式的虛假登錄頁面。這些網路釣魚頁面用於竊取密碼,例如使用者名、客戶 ID、密碼等登錄資訊。GodFather 的目標是 200 多個銀行應用程式、100 多個加密貨幣交易平臺和 94 個加密貨幣錢包應用程式。
教父在受害者設備上搜索應用程式清單以匹配虛假登錄表單。如果受害者擁有不在教父清單中的銀行或加密貨幣交換應用程式,惡意軟體將記錄螢幕以捕獲輸入的登錄憑據。
這篇文章的來源包括 HackRead中的一篇文章。
