싱가포르에 기반을 둔 연구 Group-IB는 400개국 이상에서 16개 이상의 핀테크 애플리케이션, 암호화폐 거래소 및 지갑을 표적으로 삼는 데 사용되는 Godfather 괴물 악성코드에 대해 설명합니다.
자세하게 신고, Group-IB는 해커가 온라인 뱅킹 및 기타 로그인 정보를 훔칠 수 있음을 보여줍니다. 금융 서비스 Godfather 멀웨어를 사용하여 피해자의 계정을 비울 수 있습니다. 영국의 금융 기관은 지난 400개월 이내에 공격이 발생하여 XNUMX명의 피해자 중 가장 큰 피해를 입었습니다.
Group-IB별로 대상의 절반은 금융 기관이었습니다. 17개는 영국, 49개는 미국, 31개는 터키, 30개는 스페인에 위치했습니다. 나머지 피해자는 캐나다, 프랑스, 독일, 이탈리아, 폴란드에 있습니다.
대부 트로이 목마 : 작동 방식
안드로이드 뱅킹 트로이목마는 2019년에도 생태계에 많은 피해를 입힌 Anubis의 후속작으로, C2 주소를 획득하고 C2 명령을 수행하며 화면용 모듈을 사용하는 방식이 유사합니다. 포착, 대리, 웹 스푸핑. 그러나 오디오 녹음, 위치 추적 및 2단계 인증 우회 기능은 Godfather 멀웨어에서만 사용할 수 있습니다.
Godfather 멀웨어는 Play 스토어에 추천된 Android 애플리케이션에 숨겨져 있습니다. 페이로드의 악성 코드는 Google Protect와 유사하게 위장되어 있습니다. 이 서비스는 위험한 동작이 있는지 앱을 검사합니다. 사용자가 실행한 후 멀웨어는 정품 Google 프로그램을 모방합니다. 애니메이션에 'Google 프로텍트'가 표시되지만 아무 것도 표시되지 않습니다.
Play 스토어에서 벡터 앱을 설치하면 악성코드가 권한 스스로 피해자의 시스템에 침투합니다. 명령 및 제어 서버와 연결하여 모든 피해자의 데이터를 전송합니다. 대상은 자금을 잃고 승인된 애플리케이션을 철회하거나 비활성화하기 어려운 경우에만 이러한 발전을 알아차릴 수 있습니다.
Group-IB의 하급 맬웨어 분석가인 Artem Grischenko는 Godfather와 Annubis 간의 관계는 사이버 범죄자가 점점 더 정교해지고 있음을 나타낸다고 말했습니다. 개발자와 관리자가 인프라를 업데이트할 필요가 있습니다. 트로이의 여전히 더 많은 것을 할 수 있습니다.
연구의 결정적인 부분은 또한 소멸된 소비에트 연방과 관계가 있는 국가들이 희생자 목록과 순위에서 완전히 누락되었음을 보여줍니다. ㅏ 코드 줄 이 트로이 목마는 러시아어, 몰도바어, 키르기스어, 아제르바이잔어, 카자흐어, 아르메니아어, 타지크어 또는 우즈베크어를 감지하면 작업을 종료하는 것으로 알려졌습니다. 연구자들은 가능성을 시사하고 있다. 사이버 전쟁.
출처: https://crypto.news/android-trojan-targets-over-400-apps-inclusive-crypto-and-fintech/