Group-IB, uno de los líderes mundiales en ciberseguridad, ha presentado hoy sus hallazgos sobre Godfather, un troyano bancario para Android.
Godfather es actualmente el troyano que utilizan los ciberdelincuentes para atacar a los usuarios de las principales aplicaciones bancarias y de intercambio de criptomonedas en 16 países.
Hasta la fecha, Godfather se ha dirigido a los usuarios de más de 400 aplicaciones gracias a su capacidad para generar falsificaciones web convincentes.
Superponiéndolas en las pantallas de los dispositivos infectados cuando un usuario intenta abrir una aplicación específica.
Con este esquema, los actores de amenazas que aprovechan a Godfather intentan robar las credenciales de inicio de sesión de las víctimas y eludir la autenticación de dos factores para obtener acceso a las cuentas de las víctimas y agotar sus fondos.
Durante su investigación sobre este nuevo troyano de Android, el equipo de Threat Intelligence de Group-IB descubrió que Godfather es un sucesor de Anubis.
Un troyano bancario ampliamente utilizado cuyas funcionalidades estaban limitadas por las actualizaciones de Android y los esfuerzos previos de los proveedores de prevención y detección de malware.
No es personal, es estrictamente comercial
A partir de octubre de 2022, 215 bancos, 94 proveedores de billeteras criptográficas y 110 plataformas de intercambio criptográfico han sido atacados por Godfather.
El troyano también se ha utilizado en una variedad de mercados, ya que los usuarios en más de una docena de países han estado en riesgo de que los actores de amenazas que aprovechan Godfather les roben sus credenciales.
Según los hallazgos de Group-IB, las aplicaciones bancarias en los Estados Unidos (49 empresas), Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19) y el Reino Unido (17) , han sido los más atacados por este troyano en particular.
Un desglose completo del alcance de Godfather se puede encontrar a continuación:
Tenga en cuenta que el código de Godfather presenta una funcionalidad que evita que el troyano ataque a los usuarios que hablan ruso o uno de los idiomas utilizados en la antigua Unión Soviética, lo que podría sugerir que los desarrolladores de Godfather hablan ruso.
El troyano hace esto comprobando el idioma del sistema del dispositivo infectado y apagándolo si es uno de los siguientes: ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko.
El libro de jugadas de Godfather
Godfather es una versión mejorada del troyano bancario Anubis, cuyo código fuente se filtró en 2019.
Group-IB descubrió que tanto Anubis como Godfather tienen la misma base de código, pero el protocolo y las capacidades de comunicación de control y comando de este último se actualizaron.
Los desarrolladores de Godfather también modificaron el algoritmo de cifrado de tráfico de Anubis, actualizaron varias funcionalidades, como las OTP de Google Authenticator, y agregaron un módulo separado para administrar las conexiones informáticas de la red virtual.
Además, se han eliminado varias funcionalidades que se encuentran en Anubis, como la capacidad del troyano para cifrar archivos, grabar audio o analizar datos de GPS.
Group-IB detectó a Godfather por primera vez en junio de 2021
Godfather dejó de circular en junio de 2022, lo que los analistas de Group-IB creen que se debió a que el malware se actualizó aún más.
Godfather eventualmente reaparecería en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.
Una característica distintiva del troyano es que se puede distribuir a través de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la solución Threat Intelligence de Group-IB.
Además, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compartían a través de las descripciones de los canales de Telegram, como fue el caso de Anubis.
Al momento de escribir, todavía hay una falta de claridad sobre cómo Godfather infecta exactamente los dispositivos.
Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a través de un análisis de la infraestructura de red del troyano, un dominio cuya dirección C&C era la de una aplicación de Android.
Si bien Group-IB no pudo obtener la carga útil, los analistas creen que una aplicación maliciosa alojada en Google Play Store contenía el troyano Godfather.
Arriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una característica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicación descargada (abajo).
Una vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa legítimo que se ejecuta una vez que una persona descarga una aplicación de Play Store.
El malware es capaz de emular la aplicación legítima de Google e indica al usuario que está “escaneando”. Sin embargo, el malware no está haciendo nada por el estilo.
En su lugar, crea una notificación de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.
El malware, como “Google Protect”, también lanza un servicio para solicitar acceso a AccessibilityService, una función de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.
El acceso a AccessibilityService también se solicita una vez que el usuario presiona el botón “Escanear” en la aplicación falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.
Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo
El usuario, que no tiene idea de que su dispositivo ahora está infectado con malware, continúa con sus actividades diarias.
En este punto, Godfather entra en acción.
Una característica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, también conocidas como páginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones legítimas.
El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicación legítima dirigida por Godfather, o cuando interactúa con una notificación de señuelo que falsifica una aplicación bancaria o criptográfica específica en el dispositivo del usuario.
Las falsificaciones web imitan las páginas de inicio de sesión de las aplicaciones legítimas, y todos los datos que se ingresan en las páginas HTML falsas, como nombres de usuario y contraseñas, se extraen a los servidores de C&C.
Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones legítimas.
Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones automáticas para recolectar códigos de autenticación de dos factores y drenar las cuentas de los usuarios.
Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los métodos utilizados por los actores malintencionados son motivo de preocupación.
“La aparición de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevención y detección de malware para actualizar sus productos.
Los actores malintencionados pueden volver al código fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos aún más peligrosos.
Con una herramienta como Godfather, los actores de amenazas solo están limitados por su capacidad para crear falsificaciones web convincentes para una aplicación en particular”, dijo Artem Grischenko, analista junior de malware en Group-IB.
Para minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos móviles.
Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que están descargando aplicaciones legítimas, aplicación verificada de estas fuentes y verifique qué permisos solicita una aplicación una vez que se descarga.
Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB recomienda su solución Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.
Fraud Protection de Group-IB detecta las últimas técnicas de fraude, preparación de phishing y otros tipos de ataques.
De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilación de datos personales.
La solución de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participación del cliente y sin la necesidad de instalar software adicional.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad
Copa Mundial de la FIFA 2022: ALERTA identifican estafadores
30 de noviembre: Día Mundial de la Ciberseguridad
Ciberseguridad Latam 2023: Netskope expone tendencias y predicciones