بر اساس بیانیه تنظیمکننده آلمانی BaFin، بخشی از بدافزار به نام «پدرخوانده» کاربران برنامههای رمزنگاری و سایر خدمات را هدف قرار میدهد. ژانویه 9.
BaFin گفت که پدرخوانده بر روی 400 برنامه ارز دیجیتال و بانکی تأثیر می گذارد. این بدافزار به طور خاص 110 صرافی رمزنگاری، 94 کیف پول رمزنگاری و 215 برنامه بانکی را هدف قرار می دهد. گروه IB در ماه دسامبر.
پدرخوانده با نمایش پنجرههای لاگین جعلی در بالای پنجرههای واقعی، دادههای ورود به سیستم را از کاربران میدزدد و در نتیجه کاربران را فریب میدهد تا دادههای خود را در فرم نظارت شده وارد کنند.
پدرخوانده فقط در دستگاه های اندرویدی کار می کند. برای تثبیت خود از Google Protect تقلید می کند. سپس دانلودهای Play Store را برای بدافزار اسکن می کند و خود را از لیست برنامه های نصب شده پنهان می کند. با تقلید از Google Protect، پدرخوانده همچنین میتواند از AccessibilityService برای دسترسی بیشتر به دستگاه و انتقال دادهها به مهاجمان استفاده کند.
پدرخوانده به طور خاص تلاش می کند از برنامه های نصب شده روی دستگاه کاربر تقلید کند. با این حال، میتواند صفحه نمایش را ضبط کند، کی لاگرها را راهاندازی کند، تماسهای حاوی کدهای ۲FA را فوروارد کند، پیامهای SMS ارسال کند و از استراتژیهای مختلف دیگر استفاده کند.
اگرچه آلمان امروز درباره حملات پدرخوانده هشدار داد، اما حملات تنها در آن کشور نیست. گروه IB در گزارش خود اعلام کرد که پدرخوانده کاربران 16 کشور از جمله ایالات متحده، ترکیه، اسپانیا، کانادا، فرانسه و بریتانیا را هدف قرار داده است.
گروه IB پیشنهاد کرد که پدرخوانده تا حدی از طریق یک برنامه مخرب Google Play منتشر شده است. با این حال، گروه تحقیقاتی امنیتی گفت که در مورد نحوه آلوده کردن دستگاهها توسط این بخش خاص از بدافزار، «فقدان شفافیت» وجود دارد.
بدافزار فیشینگ نسبتاً رایج است. یکی از بدافزارهای مشابه به نام دزد مریخ در سال 2022 پدیدار شد و دیگری نام گرفت راکون در سال 2021 دیده شد.
با این حال، فیشینگ را می توان بدون آلوده کردن دستگاه های کاربر انجام داد. چنین حملاتی را میتوان تنها با ایجاد ایمیلهای جعلی و وبسایتهایی که شبیه همتایان واقعی خود هستند انجام داد – با تکیه بر خطای انسانی به جای دستگاههای در معرض خطر.
منبع: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/