Si chiama Godfather (Il Padrino) il nuovo malware scoperto dagli esperti di sicurezza di Group-IB che sarebbe stato sfruttato per sferrare attacchi contro gli utenti di banche ed exchange di criptovalute in ben 16 diverse nazioni tra cui anche la Penisola. Al momento si tratterebbe solo di una minaccia pensata per essere veicolata tramite il sistema operativo Android.
Lo scopo del trojan è quello di sottrarre credenziali per l’autenticazione nei siti Web utilizzati dai correntisti. Fino ad ora l’attività malevola ad esso collegata avrebbe già coinvolto oltre un centinaio di crypto-exchange, più di una novantina di wallet di criptovalute e 25 applicazioni per il mobile banking.
Il trojan risulta attivo già dal 2021 e l’ultimo aggiornamento fatto è datato settembre 2022. I ricercatori hanno individuato nel codice sorgente di Anubis – trojan noto nell’ambito finanziario ormai limitato su Android – la fonte per lo sviluppo di Godfather. La ricerca rende noto come, nonostante il malware sia già stato individuato in alcune app pubblicate su Google Play Store, esso non è ancora stato distribuito tramite i principali canali e, di conseguenza, del metodo di infezione iniziale si sa ben poco.
Si tratta di un malware sviluppato con cura, probabilmente da un gruppo di cybercriminali residenti in Russia, poiché i ricercatori hanno indivuato un codice sorgente che impedisce al tool di infettare i sistemi di utenti che parlano russo o altre lingue dell’ex Unione Sovietica.
Come funziona?
Godfather propone una finestra molto simile a quella di Google Protect, attraverso di essa vengono richiesti dei permessi di accesso al sistema e successivamente viene avviata una finta scansione anti-malware grazie alla quale il trojan riesce a connettersi ad un server esterno. In questo modo gli attaccanti riescono a controllare il terminale colpito.
Nell’ultima parte dell’attacco il trojan sovrappone una propria schermata di login a quella dell’applicazione bancaria usata, in questo modo cattura le credenziali e le invia al server remoto. Il malware è inoltre in grado di bypassare l’autenticazione a due fattori intercettando notifiche ed SMS nonché di operare da keylogger per registrare tutto ciò che accade sullo schermo, praticamente un furto a 360°, i cybercriminali hanno pensato ad ogni possibile ostacolo.
Come proteggersi? La raccomandazione dei ricercatori che hanno studiato la situazione è che coloro che sono attivi su smartphone Android e altri dispositivi che sfruttano questo sistema lo aggiornino sempre con gli ultimi update relativi alla sicurezza e si assicurino di scaricare applicazioni disponibili solo su Play Store.
0 commenti