Un malware chiamato "Godfather" prende di mira gli utenti di app crittografiche e altri servizi, secondo una dichiarazione del regolatore tedesco BaFin su gennaio 9.
BaFin ha affermato che il Padrino influisce su circa 400 criptovalute e app bancarie. Il malware prende di mira più specificamente 110 scambi di criptovalute, 94 portafogli crittografici e 215 app bancarie, secondo un rapporto separato di Gruppo IB in dicembre.
Il padrino ruba i dati di accesso dagli utenti visualizzando finestre di accesso false sopra quelle reali, inducendo così gli utenti a inserire i propri dati in un modulo monitorato.
Il Padrino funziona solo su dispositivi Android. Imita Google Protect per affermarsi. Quindi analizza erroneamente i download del Play Store alla ricerca di malware e si nasconde dall'elenco delle applicazioni installate. Imitando Google Protect, Godfather può anche sfruttare AccessibilityService per ottenere ulteriormente l'accesso al dispositivo e inoltrare i dati agli aggressori.
Padrino tenta specificamente di imitare le applicazioni installate sul dispositivo di un utente. Tuttavia, può anche registrare lo schermo, avviare keylogger, inoltrare chiamate contenenti codici 2FA, inviare messaggi SMS e utilizzare varie altre strategie.
Sebbene la Germania abbia avvertito oggi degli attacchi del Padrino, gli attacchi non sono isolati in quel paese. IB Group ha affermato nel suo rapporto che Godfather ha preso di mira utenti in 16 paesi tra cui Stati Uniti, Turchia, Spagna, Canada, Francia e Regno Unito. Per inciso, i dispositivi impostati per utilizzare determinate lingue, incluso il russo, non possono eseguire il malware.
Il gruppo IB ha suggerito che il Padrino è stato diffuso parzialmente tramite un'applicazione dannosa di Google Play. Tuttavia, il gruppo di ricerca sulla sicurezza ha affermato che esiste una generale "mancanza di chiarezza" su come questo particolare malware infetti i dispositivi.
Il malware di phishing è abbastanza comune. Un pezzo simile di malware chiamato Mars Stealer emerso nel 2022 e un altro chiamato Procione è stato visto nel 2021.
Tuttavia, il phishing può essere eseguito senza infettare i dispositivi degli utenti. Tali attacchi possono essere eseguiti esclusivamente creando e-mail e siti Web falsi che assomigliano alle loro controparti reali, basandosi sull'errore umano piuttosto che sui dispositivi compromessi.
Fonte: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/