Clicky

GodFather: Troyano bancario para Android dirigido a usuarios de más de 400 aplicaciones bancarias y criptográficas

troyano GodFather

Intenta robar las credenciales de los usuarios generando pantallas superpuestas convincentes

Un troyano bancario de Android conocido como GodFather se está utilizando para atacar a los usuarios de más de 400 aplicaciones bancarias y de criptomonedas que se encuentran en 16 países.

Esto incluye 215 bancos, 94 proveedores de billeteras criptográficas y 110 plataformas de intercambio criptográfico que atienden a usuarios en los EE. UU., Turquía, España, Italia, Canadá y Canadá, entre otros, dijo en un informe Group-IB, con sede en Singapur.

El malware, como muchos troyanos financieros que tienen como objetivo el ecosistema de Android, intenta robar las credenciales de los usuarios generando pantallas superpuestas convincentes (también conocidas como falsificaciones web) que se muestran sobre las aplicaciones de destino.

Detectado por primera vez por Group-IB en junio de 2021 y divulgado públicamente por ThreatFabric en marzo de 2022, GodFather también incluye funciones nativas de puerta trasera que le permiten abusar de las API de accesibilidad de Android para grabar vídeos, registrar pulsaciones de teclas, realizar capturas de pantalla y recopilar registros de llamadas y SMS.

bancos afectados por GodFather

El análisis de Group-IB del malware ha revelado que es un sucesor de Anubis, otro troyano bancario cuyo código fuente se filtró en un foro clandestino en enero de 2019. También se dice que se distribuye a otros actores de amenazas a través del modelo de malware como servicio (MaaS).

Las similitudes entre las dos familias de malware se extienden al método de recepción de la dirección de comando y control (C2), la implementación de los comandos C2 y los módulos web fake, proxy y captura de pantalla. Sin embargo, se han eliminado las funciones de grabación de audio y seguimiento de ubicación.

"Curiosamente, GodFather deja fuera a los usuarios en los países postsoviéticos", dijo Group-IB. "Si las preferencias del sistema de la víctima potencial incluyen uno de los idiomas de esa región, el troyano se cierra. Esto podría sugerir que los desarrolladores de GodFather hablan ruso".

Lo que hace que GodFather se destaque es el hecho de que recupera su dirección de servidor de comando y control (C2) al descifrar las descripciones de canales de Telegram controladas por actores que se codifican con el cifrado Blowfish.

GodFather servidor

Se desconoce el modus operandi exacto empleado para infectar los dispositivos de los usuarios, aunque un examen de la infraestructura de comando y control (C2) del actor de amenazas revela que las aplicaciones cuentagotas troyanizadas son un posible vector de distribución.

Esto se basa en una dirección C2 que está vinculada a una aplicación llamada Convertidor de divisas Plus (com.plus.currencyconverter) que estaba alojada en Google Play Store a partir de junio de 2022. La aplicación en cuestión ya no está disponible para su descarga.

Otro artefacto examinado por Group-IB se hace pasar por el servicio legítimo de Google Play Protect que, al iniciarse, crea una notificación continua y oculta su icono de la lista de aplicaciones instaladas.

Los hallazgos se producen cuando Cyble descubrió una serie de muestras de GodFather que se hacían pasar por la aplicación MYT Müzik dirigida a usuarios en Turquía.

GodFather no es el único malware para Android basado en Anubis. A principios de julio, ThreatFabric reveló que una versión modificada de Anubis conocida como Falcon estaba dirigida a los usuarios rusos haciéndose pasar por el VTB Bank de propiedad estatal.

"La aparición de GodFather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevención y detección de malware para actualizar sus productos", dijo Artem Grischenko, investigador de Group-IB.

"Con una herramienta como GodFather, los actores de amenazas solo están limitados por su capacidad para crear falsificaciones web convincentes para una aplicación en particular. A veces, la continuación realmente puede ser mejor que la original".

Jesus_Caceres