Hasta la fecha, Godfather se ha dirigido a los usuarios de m\u00e1s de 400 aplicaciones gracias a su capacidad para generar falsificaciones web convincentes.<\/h5>\nSuperponi\u00e9ndolas en las pantallas de los dispositivos infectados cuando un usuario intenta abrir una aplicaci\u00f3n espec\u00edfica.<\/h5>\nCon este esquema, los actores de amenazas que aprovechan a Godfather intentan robar las credenciales de inicio de sesi\u00f3n de las v\u00edctimas y eludir la autenticaci\u00f3n de dos factores para obtener acceso a las cuentas de las v\u00edctimas y agotar sus fondos.<\/h5>\nDurante su investigaci\u00f3n sobre este nuevo troyano de Android, el equipo de Threat Intelligence de Group-IB descubri\u00f3 que Godfather es un sucesor de Anubis.<\/h5>\nUn troyano bancario ampliamente utilizado cuyas funcionalidades estaban limitadas por las actualizaciones de Android y los esfuerzos previos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware.<\/h5>\nNo es personal, es estrictamente comercial<\/strong><\/h3>\nA partir de octubre de 2022, 215 bancos, 94 proveedores de billeteras criptogr\u00e1ficas y 110 plataformas de intercambio criptogr\u00e1fico han sido atacados por Godfather.<\/p>\n
El troyano tambi\u00e9n se ha utilizado en una variedad de mercados, ya que los usuarios en m\u00e1s de una docena de pa\u00edses han estado en riesgo de que los actores de amenazas que aprovechan Godfather les roben sus credenciales.<\/p>\n
Seg\u00fan los hallazgos de Group-IB, las aplicaciones bancarias en los Estados Unidos (49 empresas), Turqu\u00eda (31), Espa\u00f1a (30), Canad\u00e1 (22), Francia (20), Alemania (19) y el Reino Unido (17) , han sido los m\u00e1s atacados por este troyano en particular.<\/p>\n
Un desglose completo del alcance de Godfather se puede encontrar a continuaci\u00f3n:<\/strong><\/h3>\n <\/p>\n![\"Figura](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2022\/12\/Godfather-en-16-paises-e1671629623605.webp\" "\\"\\"")
<\/a>Figura 1: A qui\u00e9n y d\u00f3nde se dirige Godfather<\/figcaption><\/figure>\nTenga en cuenta que el c\u00f3digo de Godfather presenta una funcionalidad que evita que el troyano ataque a los usuarios que hablan ruso o uno de los idiomas utilizados en la antigua Uni\u00f3n Sovi\u00e9tica, lo que podr\u00eda sugerir que los desarrolladores de Godfather hablan ruso.<\/p>\n
El troyano hace esto comprobando el idioma del sistema del dispositivo infectado y apag\u00e1ndolo si es uno de los siguientes: ruso, azerbaiyano, armenio, bielorruso, kazajo, kirgu\u00eds, moldavo, uzbeko o tayiko.<\/p>\n
El libro de jugadas de Godfather<\/strong><\/h3>\nGodfather es una versi\u00f3n mejorada del troyano bancario Anubis, cuyo c\u00f3digo fuente se filtr\u00f3 en 2019.<\/p>\n
Group-IB descubri\u00f3 que tanto Anubis como Godfather tienen la misma base de c\u00f3digo, pero el protocolo y las capacidades de comunicaci\u00f3n de control y comando de este \u00faltimo se actualizaron.<\/p>\n
Los desarrolladores de Godfather tambi\u00e9n modificaron el algoritmo de cifrado de tr\u00e1fico de Anubis, actualizaron varias funcionalidades, como las OTP de Google Authenticator, y agregaron un m\u00f3dulo separado para administrar las conexiones inform\u00e1ticas de la red virtual.<\/p>\n
Adem\u00e1s, se han eliminado varias funcionalidades que se encuentran en Anubis, como la capacidad del troyano para cifrar archivos, grabar audio o analizar datos de GPS.<\/p>\n
Group-IB detect\u00f3 a Godfather por primera vez en junio de 2021<\/strong><\/h3>\nGodfather dej\u00f3 de circular en junio de 2022, lo que los analistas de Group-IB creen que se debi\u00f3 a que el malware se actualiz\u00f3 a\u00fan m\u00e1s.<\/p>\n
Godfather eventualmente reaparecer\u00eda en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.<\/p>\n
Una caracter\u00edstica distintiva del troyano es que se puede distribuir a trav\u00e9s de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la soluci\u00f3n Threat Intelligence de Group-IB.<\/p>\n
Adem\u00e1s, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compart\u00edan a trav\u00e9s de las descripciones de los canales de Telegram, como fue el caso de Anubis.<\/p>\n![\"Figura](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2022\/12\/Figura-2-Un-usuario-de-Telegram-solicita-una-revision-del-troyano-bancario-Godfather-e1671629799311.webp\" "\\"\\"")
<\/a>Figura 2: Un usuario de Telegram solicita una revisi\u00f3n del troyano bancario Godfather<\/figcaption><\/figure>\nAl momento de escribir, todav\u00eda hay una falta de claridad sobre c\u00f3mo Godfather infecta exactamente los dispositivos.<\/p>\n
Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a trav\u00e9s de un an\u00e1lisis de la infraestructura de red del troyano, un dominio cuya direcci\u00f3n C&C era la de una aplicaci\u00f3n de Android.<\/p>\n
Si bien Group-IB no pudo obtener la carga \u00fatil, los analistas creen que una aplicaci\u00f3n maliciosa alojada en Google Play Store conten\u00eda el troyano Godfather.<\/p>\n![\"Figura](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2022\/12\/Figura-3-Infraestructura-de-red-de-Godfather-detallada-por-la-herramienta-Graph-Network-Analysis-de-Group-IB-e1671629956834.webp\" "\\"\\"")
<\/a>Figura 3: Infraestructura de red de Godfather, detallada por la herramienta Graph Network Analysis de Group-IB<\/figcaption><\/figure>\nArriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una caracter\u00edstica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicaci\u00f3n descargada (abajo).<\/p>\n![\"Figura](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2022\/12\/Figura-4-una-captura-de-pantalla-de-la-lista-de-Google-Play-Store-para-la-aplicacion-que-se-encuentra-en-la-infraestructura-de-red-de-Godfather-e1671630242565.webp\" "\\"\\"")
<\/a>Figura 4: una captura de pantalla de la lista de Google Play Store para la aplicaci\u00f3n que se encuentra en la infraestructura de red de Godfather (Fuente: @0xabc0)<\/figcaption><\/figure>\nUna vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa leg\u00edtimo que se ejecuta una vez que una persona descarga una aplicaci\u00f3n de Play Store.<\/p>\n
El malware es capaz de emular la aplicaci\u00f3n leg\u00edtima de Google e indica al usuario que est\u00e1 “escaneando”. Sin embargo, el malware no est\u00e1 haciendo nada por el estilo.<\/p>\n
En su lugar, crea una notificaci\u00f3n de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.<\/p>\n
El malware, como \u201cGoogle Protect\u201d, tambi\u00e9n lanza un servicio para solicitar acceso a AccessibilityService, una funci\u00f3n de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.<\/p>\n
El acceso a AccessibilityService tambi\u00e9n se solicita una vez que el usuario presiona el bot\u00f3n “Escanear” en la aplicaci\u00f3n falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.<\/p>\n
Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo<\/strong><\/h3>\nEl usuario, que no tiene idea de que su dispositivo ahora est\u00e1 infectado con malware, contin\u00faa con sus actividades diarias.<\/p>\n
En este punto, Godfather entra en acci\u00f3n.<\/p>\n
Una caracter\u00edstica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, tambi\u00e9n conocidas como p\u00e1ginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones leg\u00edtimas.<\/p>\n
El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicaci\u00f3n leg\u00edtima dirigida por Godfather, o cuando interact\u00faa con una notificaci\u00f3n de se\u00f1uelo que falsifica una aplicaci\u00f3n bancaria o criptogr\u00e1fica espec\u00edfica en el dispositivo del usuario.<\/p>\n
Las falsificaciones web imitan las p\u00e1ginas de inicio de sesi\u00f3n de las aplicaciones leg\u00edtimas, y todos los datos que se ingresan en las p\u00e1ginas HTML falsas, como nombres de usuario y contrase\u00f1as, se extraen a los servidores de C&C.<\/p>\n
Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones leg\u00edtimas.<\/p>\n
Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones autom\u00e1ticas para recolectar c\u00f3digos de autenticaci\u00f3n de dos factores y drenar las cuentas de los usuarios.<\/p>\n
Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los m\u00e9todos utilizados por los actores malintencionados son motivo de preocupaci\u00f3n.<\/p>\n
![\"\"](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2022\/12\/tinywow_foto-4_10097226-e1671630458242.webp\" "\\"\\"")
<\/p>\n![\"Figura](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2022\/12\/tinywow_Foto-5_10097269.webp\" "\\"\\"")
<\/a>Figura 5: falsificaciones de HTML contenidas en Godfather que imitan a empresas turcas seleccionadas<\/figcaption><\/figure>\n\u201cLa aparici\u00f3n de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware para actualizar sus productos.<\/p>\n
Los actores malintencionados pueden volver al c\u00f3digo fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos a\u00fan m\u00e1s peligrosos.<\/p>\n
Con una herramienta como Godfather, los actores de amenazas solo est\u00e1n limitados por su capacidad para crear falsificaciones web convincentes para una aplicaci\u00f3n en particular\u201d, dijo Artem Grischenko, analista junior de malware en Group-IB.<\/strong><\/p>\nPara minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos m\u00f3viles.<\/p>\n
Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que est\u00e1n descargando aplicaciones leg\u00edtimas, aplicaci\u00f3n verificada de estas fuentes y verifique qu\u00e9 permisos solicita una aplicaci\u00f3n una vez que se descarga.<\/p>\n
Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB<\/a> recomienda su soluci\u00f3n Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.<\/p>\nFraud Protection de Group-IB detecta las \u00faltimas t\u00e9cnicas de fraude, preparaci\u00f3n de phishing y otros tipos de ataques.<\/p>\n
De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilaci\u00f3n de datos personales.<\/p>\n
La soluci\u00f3n de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participaci\u00f3n del cliente y sin la necesidad de instalar software adicional.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre ciberseguridad<\/p>\n
Copa Mundial de la FIFA 2022: ALERTA identifican estafadores<\/a><\/p>\n30 de noviembre: D\u00eda Mundial de la Ciberseguridad<\/a><\/p>\nCiberseguridad Latam 2023: Netskope expone tendencias y predicciones<\/a><\/p>\nNavegador Web: \u00bfaislarlo comienza a ser tendencia 2023?<\/a><\/p>\n
Con este esquema, los actores de amenazas que aprovechan a Godfather intentan robar las credenciales de inicio de sesi\u00f3n de las v\u00edctimas y eludir la autenticaci\u00f3n de dos factores para obtener acceso a las cuentas de las v\u00edctimas y agotar sus fondos.<\/h5>\nDurante su investigaci\u00f3n sobre este nuevo troyano de Android, el equipo de Threat Intelligence de Group-IB descubri\u00f3 que Godfather es un sucesor de Anubis.<\/h5>\nUn troyano bancario ampliamente utilizado cuyas funcionalidades estaban limitadas por las actualizaciones de Android y los esfuerzos previos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware.<\/h5>\nNo es personal, es estrictamente comercial<\/strong><\/h3>\nA partir de octubre de 2022, 215 bancos, 94 proveedores de billeteras criptogr\u00e1ficas y 110 plataformas de intercambio criptogr\u00e1fico han sido atacados por Godfather.<\/p>\n
El troyano tambi\u00e9n se ha utilizado en una variedad de mercados, ya que los usuarios en m\u00e1s de una docena de pa\u00edses han estado en riesgo de que los actores de amenazas que aprovechan Godfather les roben sus credenciales.<\/p>\n
Seg\u00fan los hallazgos de Group-IB, las aplicaciones bancarias en los Estados Unidos (49 empresas), Turqu\u00eda (31), Espa\u00f1a (30), Canad\u00e1 (22), Francia (20), Alemania (19) y el Reino Unido (17) , han sido los m\u00e1s atacados por este troyano en particular.<\/p>\n
Un desglose completo del alcance de Godfather se puede encontrar a continuaci\u00f3n:<\/strong><\/h3>\n <\/p>\n<\/a>Figura 1: A qui\u00e9n y d\u00f3nde se dirige Godfather<\/figcaption><\/figure>\nTenga en cuenta que el c\u00f3digo de Godfather presenta una funcionalidad que evita que el troyano ataque a los usuarios que hablan ruso o uno de los idiomas utilizados en la antigua Uni\u00f3n Sovi\u00e9tica, lo que podr\u00eda sugerir que los desarrolladores de Godfather hablan ruso.<\/p>\n
El troyano hace esto comprobando el idioma del sistema del dispositivo infectado y apag\u00e1ndolo si es uno de los siguientes: ruso, azerbaiyano, armenio, bielorruso, kazajo, kirgu\u00eds, moldavo, uzbeko o tayiko.<\/p>\n
El libro de jugadas de Godfather<\/strong><\/h3>\nGodfather es una versi\u00f3n mejorada del troyano bancario Anubis, cuyo c\u00f3digo fuente se filtr\u00f3 en 2019.<\/p>\n
Group-IB descubri\u00f3 que tanto Anubis como Godfather tienen la misma base de c\u00f3digo, pero el protocolo y las capacidades de comunicaci\u00f3n de control y comando de este \u00faltimo se actualizaron.<\/p>\n
Los desarrolladores de Godfather tambi\u00e9n modificaron el algoritmo de cifrado de tr\u00e1fico de Anubis, actualizaron varias funcionalidades, como las OTP de Google Authenticator, y agregaron un m\u00f3dulo separado para administrar las conexiones inform\u00e1ticas de la red virtual.<\/p>\n
Adem\u00e1s, se han eliminado varias funcionalidades que se encuentran en Anubis, como la capacidad del troyano para cifrar archivos, grabar audio o analizar datos de GPS.<\/p>\n
Group-IB detect\u00f3 a Godfather por primera vez en junio de 2021<\/strong><\/h3>\nGodfather dej\u00f3 de circular en junio de 2022, lo que los analistas de Group-IB creen que se debi\u00f3 a que el malware se actualiz\u00f3 a\u00fan m\u00e1s.<\/p>\n
Godfather eventualmente reaparecer\u00eda en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.<\/p>\n
Una caracter\u00edstica distintiva del troyano es que se puede distribuir a trav\u00e9s de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la soluci\u00f3n Threat Intelligence de Group-IB.<\/p>\n
Adem\u00e1s, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compart\u00edan a trav\u00e9s de las descripciones de los canales de Telegram, como fue el caso de Anubis.<\/p>\n<\/a>Figura 2: Un usuario de Telegram solicita una revisi\u00f3n del troyano bancario Godfather<\/figcaption><\/figure>\nAl momento de escribir, todav\u00eda hay una falta de claridad sobre c\u00f3mo Godfather infecta exactamente los dispositivos.<\/p>\n
Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a trav\u00e9s de un an\u00e1lisis de la infraestructura de red del troyano, un dominio cuya direcci\u00f3n C&C era la de una aplicaci\u00f3n de Android.<\/p>\n
Si bien Group-IB no pudo obtener la carga \u00fatil, los analistas creen que una aplicaci\u00f3n maliciosa alojada en Google Play Store conten\u00eda el troyano Godfather.<\/p>\n<\/a>Figura 3: Infraestructura de red de Godfather, detallada por la herramienta Graph Network Analysis de Group-IB<\/figcaption><\/figure>\nArriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una caracter\u00edstica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicaci\u00f3n descargada (abajo).<\/p>\n<\/a>Figura 4: una captura de pantalla de la lista de Google Play Store para la aplicaci\u00f3n que se encuentra en la infraestructura de red de Godfather (Fuente: @0xabc0)<\/figcaption><\/figure>\nUna vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa leg\u00edtimo que se ejecuta una vez que una persona descarga una aplicaci\u00f3n de Play Store.<\/p>\n
El malware es capaz de emular la aplicaci\u00f3n leg\u00edtima de Google e indica al usuario que est\u00e1 “escaneando”. Sin embargo, el malware no est\u00e1 haciendo nada por el estilo.<\/p>\n
En su lugar, crea una notificaci\u00f3n de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.<\/p>\n
El malware, como \u201cGoogle Protect\u201d, tambi\u00e9n lanza un servicio para solicitar acceso a AccessibilityService, una funci\u00f3n de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.<\/p>\n
El acceso a AccessibilityService tambi\u00e9n se solicita una vez que el usuario presiona el bot\u00f3n “Escanear” en la aplicaci\u00f3n falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.<\/p>\n
Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo<\/strong><\/h3>\nEl usuario, que no tiene idea de que su dispositivo ahora est\u00e1 infectado con malware, contin\u00faa con sus actividades diarias.<\/p>\n
En este punto, Godfather entra en acci\u00f3n.<\/p>\n
Una caracter\u00edstica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, tambi\u00e9n conocidas como p\u00e1ginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones leg\u00edtimas.<\/p>\n
El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicaci\u00f3n leg\u00edtima dirigida por Godfather, o cuando interact\u00faa con una notificaci\u00f3n de se\u00f1uelo que falsifica una aplicaci\u00f3n bancaria o criptogr\u00e1fica espec\u00edfica en el dispositivo del usuario.<\/p>\n
Las falsificaciones web imitan las p\u00e1ginas de inicio de sesi\u00f3n de las aplicaciones leg\u00edtimas, y todos los datos que se ingresan en las p\u00e1ginas HTML falsas, como nombres de usuario y contrase\u00f1as, se extraen a los servidores de C&C.<\/p>\n
Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones leg\u00edtimas.<\/p>\n
Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones autom\u00e1ticas para recolectar c\u00f3digos de autenticaci\u00f3n de dos factores y drenar las cuentas de los usuarios.<\/p>\n
Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los m\u00e9todos utilizados por los actores malintencionados son motivo de preocupaci\u00f3n.<\/p>\n
<\/p>\n<\/a>Figura 5: falsificaciones de HTML contenidas en Godfather que imitan a empresas turcas seleccionadas<\/figcaption><\/figure>\n\u201cLa aparici\u00f3n de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware para actualizar sus productos.<\/p>\n
Los actores malintencionados pueden volver al c\u00f3digo fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos a\u00fan m\u00e1s peligrosos.<\/p>\n
Con una herramienta como Godfather, los actores de amenazas solo est\u00e1n limitados por su capacidad para crear falsificaciones web convincentes para una aplicaci\u00f3n en particular\u201d, dijo Artem Grischenko, analista junior de malware en Group-IB.<\/strong><\/p>\nPara minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos m\u00f3viles.<\/p>\n
Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que est\u00e1n descargando aplicaciones leg\u00edtimas, aplicaci\u00f3n verificada de estas fuentes y verifique qu\u00e9 permisos solicita una aplicaci\u00f3n una vez que se descarga.<\/p>\n
Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB<\/a> recomienda su soluci\u00f3n Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.<\/p>\nFraud Protection de Group-IB detecta las \u00faltimas t\u00e9cnicas de fraude, preparaci\u00f3n de phishing y otros tipos de ataques.<\/p>\n
De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilaci\u00f3n de datos personales.<\/p>\n
La soluci\u00f3n de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participaci\u00f3n del cliente y sin la necesidad de instalar software adicional.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre ciberseguridad<\/p>\n
Copa Mundial de la FIFA 2022: ALERTA identifican estafadores<\/a><\/p>\n30 de noviembre: D\u00eda Mundial de la Ciberseguridad<\/a><\/p>\nCiberseguridad Latam 2023: Netskope expone tendencias y predicciones<\/a><\/p>\nNavegador Web: \u00bfaislarlo comienza a ser tendencia 2023?<\/a><\/p>\n
Un troyano bancario ampliamente utilizado cuyas funcionalidades estaban limitadas por las actualizaciones de Android y los esfuerzos previos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware.<\/h5>\nNo es personal, es estrictamente comercial<\/strong><\/h3>\nA partir de octubre de 2022, 215 bancos, 94 proveedores de billeteras criptogr\u00e1ficas y 110 plataformas de intercambio criptogr\u00e1fico han sido atacados por Godfather.<\/p>\n
El troyano tambi\u00e9n se ha utilizado en una variedad de mercados, ya que los usuarios en m\u00e1s de una docena de pa\u00edses han estado en riesgo de que los actores de amenazas que aprovechan Godfather les roben sus credenciales.<\/p>\n
Seg\u00fan los hallazgos de Group-IB, las aplicaciones bancarias en los Estados Unidos (49 empresas), Turqu\u00eda (31), Espa\u00f1a (30), Canad\u00e1 (22), Francia (20), Alemania (19) y el Reino Unido (17) , han sido los m\u00e1s atacados por este troyano en particular.<\/p>\n
Un desglose completo del alcance de Godfather se puede encontrar a continuaci\u00f3n:<\/strong><\/h3>\n <\/p>\n<\/a>Figura 1: A qui\u00e9n y d\u00f3nde se dirige Godfather<\/figcaption><\/figure>\nTenga en cuenta que el c\u00f3digo de Godfather presenta una funcionalidad que evita que el troyano ataque a los usuarios que hablan ruso o uno de los idiomas utilizados en la antigua Uni\u00f3n Sovi\u00e9tica, lo que podr\u00eda sugerir que los desarrolladores de Godfather hablan ruso.<\/p>\n
El troyano hace esto comprobando el idioma del sistema del dispositivo infectado y apag\u00e1ndolo si es uno de los siguientes: ruso, azerbaiyano, armenio, bielorruso, kazajo, kirgu\u00eds, moldavo, uzbeko o tayiko.<\/p>\n
El libro de jugadas de Godfather<\/strong><\/h3>\nGodfather es una versi\u00f3n mejorada del troyano bancario Anubis, cuyo c\u00f3digo fuente se filtr\u00f3 en 2019.<\/p>\n
Group-IB descubri\u00f3 que tanto Anubis como Godfather tienen la misma base de c\u00f3digo, pero el protocolo y las capacidades de comunicaci\u00f3n de control y comando de este \u00faltimo se actualizaron.<\/p>\n
Los desarrolladores de Godfather tambi\u00e9n modificaron el algoritmo de cifrado de tr\u00e1fico de Anubis, actualizaron varias funcionalidades, como las OTP de Google Authenticator, y agregaron un m\u00f3dulo separado para administrar las conexiones inform\u00e1ticas de la red virtual.<\/p>\n
Adem\u00e1s, se han eliminado varias funcionalidades que se encuentran en Anubis, como la capacidad del troyano para cifrar archivos, grabar audio o analizar datos de GPS.<\/p>\n
Group-IB detect\u00f3 a Godfather por primera vez en junio de 2021<\/strong><\/h3>\nGodfather dej\u00f3 de circular en junio de 2022, lo que los analistas de Group-IB creen que se debi\u00f3 a que el malware se actualiz\u00f3 a\u00fan m\u00e1s.<\/p>\n
Godfather eventualmente reaparecer\u00eda en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.<\/p>\n
Una caracter\u00edstica distintiva del troyano es que se puede distribuir a trav\u00e9s de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la soluci\u00f3n Threat Intelligence de Group-IB.<\/p>\n
Adem\u00e1s, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compart\u00edan a trav\u00e9s de las descripciones de los canales de Telegram, como fue el caso de Anubis.<\/p>\n<\/a>Figura 2: Un usuario de Telegram solicita una revisi\u00f3n del troyano bancario Godfather<\/figcaption><\/figure>\nAl momento de escribir, todav\u00eda hay una falta de claridad sobre c\u00f3mo Godfather infecta exactamente los dispositivos.<\/p>\n
Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a trav\u00e9s de un an\u00e1lisis de la infraestructura de red del troyano, un dominio cuya direcci\u00f3n C&C era la de una aplicaci\u00f3n de Android.<\/p>\n
Si bien Group-IB no pudo obtener la carga \u00fatil, los analistas creen que una aplicaci\u00f3n maliciosa alojada en Google Play Store conten\u00eda el troyano Godfather.<\/p>\n<\/a>Figura 3: Infraestructura de red de Godfather, detallada por la herramienta Graph Network Analysis de Group-IB<\/figcaption><\/figure>\nArriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una caracter\u00edstica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicaci\u00f3n descargada (abajo).<\/p>\n<\/a>Figura 4: una captura de pantalla de la lista de Google Play Store para la aplicaci\u00f3n que se encuentra en la infraestructura de red de Godfather (Fuente: @0xabc0)<\/figcaption><\/figure>\nUna vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa leg\u00edtimo que se ejecuta una vez que una persona descarga una aplicaci\u00f3n de Play Store.<\/p>\n
El malware es capaz de emular la aplicaci\u00f3n leg\u00edtima de Google e indica al usuario que est\u00e1 “escaneando”. Sin embargo, el malware no est\u00e1 haciendo nada por el estilo.<\/p>\n
En su lugar, crea una notificaci\u00f3n de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.<\/p>\n
El malware, como \u201cGoogle Protect\u201d, tambi\u00e9n lanza un servicio para solicitar acceso a AccessibilityService, una funci\u00f3n de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.<\/p>\n
El acceso a AccessibilityService tambi\u00e9n se solicita una vez que el usuario presiona el bot\u00f3n “Escanear” en la aplicaci\u00f3n falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.<\/p>\n
Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo<\/strong><\/h3>\nEl usuario, que no tiene idea de que su dispositivo ahora est\u00e1 infectado con malware, contin\u00faa con sus actividades diarias.<\/p>\n
En este punto, Godfather entra en acci\u00f3n.<\/p>\n
Una caracter\u00edstica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, tambi\u00e9n conocidas como p\u00e1ginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones leg\u00edtimas.<\/p>\n
El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicaci\u00f3n leg\u00edtima dirigida por Godfather, o cuando interact\u00faa con una notificaci\u00f3n de se\u00f1uelo que falsifica una aplicaci\u00f3n bancaria o criptogr\u00e1fica espec\u00edfica en el dispositivo del usuario.<\/p>\n
Las falsificaciones web imitan las p\u00e1ginas de inicio de sesi\u00f3n de las aplicaciones leg\u00edtimas, y todos los datos que se ingresan en las p\u00e1ginas HTML falsas, como nombres de usuario y contrase\u00f1as, se extraen a los servidores de C&C.<\/p>\n
Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones leg\u00edtimas.<\/p>\n
Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones autom\u00e1ticas para recolectar c\u00f3digos de autenticaci\u00f3n de dos factores y drenar las cuentas de los usuarios.<\/p>\n
Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los m\u00e9todos utilizados por los actores malintencionados son motivo de preocupaci\u00f3n.<\/p>\n
<\/p>\n<\/a>Figura 5: falsificaciones de HTML contenidas en Godfather que imitan a empresas turcas seleccionadas<\/figcaption><\/figure>\n\u201cLa aparici\u00f3n de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware para actualizar sus productos.<\/p>\n
Los actores malintencionados pueden volver al c\u00f3digo fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos a\u00fan m\u00e1s peligrosos.<\/p>\n
Con una herramienta como Godfather, los actores de amenazas solo est\u00e1n limitados por su capacidad para crear falsificaciones web convincentes para una aplicaci\u00f3n en particular\u201d, dijo Artem Grischenko, analista junior de malware en Group-IB.<\/strong><\/p>\nPara minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos m\u00f3viles.<\/p>\n
Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que est\u00e1n descargando aplicaciones leg\u00edtimas, aplicaci\u00f3n verificada de estas fuentes y verifique qu\u00e9 permisos solicita una aplicaci\u00f3n una vez que se descarga.<\/p>\n
Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB<\/a> recomienda su soluci\u00f3n Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.<\/p>\nFraud Protection de Group-IB detecta las \u00faltimas t\u00e9cnicas de fraude, preparaci\u00f3n de phishing y otros tipos de ataques.<\/p>\n
De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilaci\u00f3n de datos personales.<\/p>\n
La soluci\u00f3n de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participaci\u00f3n del cliente y sin la necesidad de instalar software adicional.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre ciberseguridad<\/p>\n
Copa Mundial de la FIFA 2022: ALERTA identifican estafadores<\/a><\/p>\n30 de noviembre: D\u00eda Mundial de la Ciberseguridad<\/a><\/p>\nCiberseguridad Latam 2023: Netskope expone tendencias y predicciones<\/a><\/p>\nNavegador Web: \u00bfaislarlo comienza a ser tendencia 2023?<\/a><\/p>\n
A partir de octubre de 2022, 215 bancos, 94 proveedores de billeteras criptogr\u00e1ficas y 110 plataformas de intercambio criptogr\u00e1fico han sido atacados por Godfather.<\/p>\n
El troyano tambi\u00e9n se ha utilizado en una variedad de mercados, ya que los usuarios en m\u00e1s de una docena de pa\u00edses han estado en riesgo de que los actores de amenazas que aprovechan Godfather les roben sus credenciales.<\/p>\n
Seg\u00fan los hallazgos de Group-IB, las aplicaciones bancarias en los Estados Unidos (49 empresas), Turqu\u00eda (31), Espa\u00f1a (30), Canad\u00e1 (22), Francia (20), Alemania (19) y el Reino Unido (17) , han sido los m\u00e1s atacados por este troyano en particular.<\/p>\n
Un desglose completo del alcance de Godfather se puede encontrar a continuaci\u00f3n:<\/strong><\/h3>\n <\/p>\n<\/a>Figura 1: A qui\u00e9n y d\u00f3nde se dirige Godfather<\/figcaption><\/figure>\nTenga en cuenta que el c\u00f3digo de Godfather presenta una funcionalidad que evita que el troyano ataque a los usuarios que hablan ruso o uno de los idiomas utilizados en la antigua Uni\u00f3n Sovi\u00e9tica, lo que podr\u00eda sugerir que los desarrolladores de Godfather hablan ruso.<\/p>\n
El troyano hace esto comprobando el idioma del sistema del dispositivo infectado y apag\u00e1ndolo si es uno de los siguientes: ruso, azerbaiyano, armenio, bielorruso, kazajo, kirgu\u00eds, moldavo, uzbeko o tayiko.<\/p>\n
El libro de jugadas de Godfather<\/strong><\/h3>\nGodfather es una versi\u00f3n mejorada del troyano bancario Anubis, cuyo c\u00f3digo fuente se filtr\u00f3 en 2019.<\/p>\n
Group-IB descubri\u00f3 que tanto Anubis como Godfather tienen la misma base de c\u00f3digo, pero el protocolo y las capacidades de comunicaci\u00f3n de control y comando de este \u00faltimo se actualizaron.<\/p>\n
Los desarrolladores de Godfather tambi\u00e9n modificaron el algoritmo de cifrado de tr\u00e1fico de Anubis, actualizaron varias funcionalidades, como las OTP de Google Authenticator, y agregaron un m\u00f3dulo separado para administrar las conexiones inform\u00e1ticas de la red virtual.<\/p>\n
Adem\u00e1s, se han eliminado varias funcionalidades que se encuentran en Anubis, como la capacidad del troyano para cifrar archivos, grabar audio o analizar datos de GPS.<\/p>\n
Group-IB detect\u00f3 a Godfather por primera vez en junio de 2021<\/strong><\/h3>\nGodfather dej\u00f3 de circular en junio de 2022, lo que los analistas de Group-IB creen que se debi\u00f3 a que el malware se actualiz\u00f3 a\u00fan m\u00e1s.<\/p>\n
Godfather eventualmente reaparecer\u00eda en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.<\/p>\n
Una caracter\u00edstica distintiva del troyano es que se puede distribuir a trav\u00e9s de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la soluci\u00f3n Threat Intelligence de Group-IB.<\/p>\n
Adem\u00e1s, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compart\u00edan a trav\u00e9s de las descripciones de los canales de Telegram, como fue el caso de Anubis.<\/p>\n<\/a>Figura 2: Un usuario de Telegram solicita una revisi\u00f3n del troyano bancario Godfather<\/figcaption><\/figure>\nAl momento de escribir, todav\u00eda hay una falta de claridad sobre c\u00f3mo Godfather infecta exactamente los dispositivos.<\/p>\n
Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a trav\u00e9s de un an\u00e1lisis de la infraestructura de red del troyano, un dominio cuya direcci\u00f3n C&C era la de una aplicaci\u00f3n de Android.<\/p>\n
Si bien Group-IB no pudo obtener la carga \u00fatil, los analistas creen que una aplicaci\u00f3n maliciosa alojada en Google Play Store conten\u00eda el troyano Godfather.<\/p>\n<\/a>Figura 3: Infraestructura de red de Godfather, detallada por la herramienta Graph Network Analysis de Group-IB<\/figcaption><\/figure>\nArriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una caracter\u00edstica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicaci\u00f3n descargada (abajo).<\/p>\n<\/a>Figura 4: una captura de pantalla de la lista de Google Play Store para la aplicaci\u00f3n que se encuentra en la infraestructura de red de Godfather (Fuente: @0xabc0)<\/figcaption><\/figure>\nUna vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa leg\u00edtimo que se ejecuta una vez que una persona descarga una aplicaci\u00f3n de Play Store.<\/p>\n
El malware es capaz de emular la aplicaci\u00f3n leg\u00edtima de Google e indica al usuario que est\u00e1 “escaneando”. Sin embargo, el malware no est\u00e1 haciendo nada por el estilo.<\/p>\n
En su lugar, crea una notificaci\u00f3n de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.<\/p>\n
El malware, como \u201cGoogle Protect\u201d, tambi\u00e9n lanza un servicio para solicitar acceso a AccessibilityService, una funci\u00f3n de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.<\/p>\n
El acceso a AccessibilityService tambi\u00e9n se solicita una vez que el usuario presiona el bot\u00f3n “Escanear” en la aplicaci\u00f3n falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.<\/p>\n
Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo<\/strong><\/h3>\nEl usuario, que no tiene idea de que su dispositivo ahora est\u00e1 infectado con malware, contin\u00faa con sus actividades diarias.<\/p>\n
En este punto, Godfather entra en acci\u00f3n.<\/p>\n
Una caracter\u00edstica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, tambi\u00e9n conocidas como p\u00e1ginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones leg\u00edtimas.<\/p>\n
El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicaci\u00f3n leg\u00edtima dirigida por Godfather, o cuando interact\u00faa con una notificaci\u00f3n de se\u00f1uelo que falsifica una aplicaci\u00f3n bancaria o criptogr\u00e1fica espec\u00edfica en el dispositivo del usuario.<\/p>\n
Las falsificaciones web imitan las p\u00e1ginas de inicio de sesi\u00f3n de las aplicaciones leg\u00edtimas, y todos los datos que se ingresan en las p\u00e1ginas HTML falsas, como nombres de usuario y contrase\u00f1as, se extraen a los servidores de C&C.<\/p>\n
Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones leg\u00edtimas.<\/p>\n
Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones autom\u00e1ticas para recolectar c\u00f3digos de autenticaci\u00f3n de dos factores y drenar las cuentas de los usuarios.<\/p>\n
Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los m\u00e9todos utilizados por los actores malintencionados son motivo de preocupaci\u00f3n.<\/p>\n
<\/p>\n<\/a>Figura 5: falsificaciones de HTML contenidas en Godfather que imitan a empresas turcas seleccionadas<\/figcaption><\/figure>\n\u201cLa aparici\u00f3n de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware para actualizar sus productos.<\/p>\n
Los actores malintencionados pueden volver al c\u00f3digo fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos a\u00fan m\u00e1s peligrosos.<\/p>\n
Con una herramienta como Godfather, los actores de amenazas solo est\u00e1n limitados por su capacidad para crear falsificaciones web convincentes para una aplicaci\u00f3n en particular\u201d, dijo Artem Grischenko, analista junior de malware en Group-IB.<\/strong><\/p>\nPara minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos m\u00f3viles.<\/p>\n
Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que est\u00e1n descargando aplicaciones leg\u00edtimas, aplicaci\u00f3n verificada de estas fuentes y verifique qu\u00e9 permisos solicita una aplicaci\u00f3n una vez que se descarga.<\/p>\n
Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB<\/a> recomienda su soluci\u00f3n Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.<\/p>\nFraud Protection de Group-IB detecta las \u00faltimas t\u00e9cnicas de fraude, preparaci\u00f3n de phishing y otros tipos de ataques.<\/p>\n
De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilaci\u00f3n de datos personales.<\/p>\n
La soluci\u00f3n de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participaci\u00f3n del cliente y sin la necesidad de instalar software adicional.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre ciberseguridad<\/p>\n
Copa Mundial de la FIFA 2022: ALERTA identifican estafadores<\/a><\/p>\n30 de noviembre: D\u00eda Mundial de la Ciberseguridad<\/a><\/p>\nCiberseguridad Latam 2023: Netskope expone tendencias y predicciones<\/a><\/p>\nNavegador Web: \u00bfaislarlo comienza a ser tendencia 2023?<\/a><\/p>\n
<\/a>Tenga en cuenta que el c\u00f3digo de Godfather presenta una funcionalidad que evita que el troyano ataque a los usuarios que hablan ruso o uno de los idiomas utilizados en la antigua Uni\u00f3n Sovi\u00e9tica, lo que podr\u00eda sugerir que los desarrolladores de Godfather hablan ruso.<\/p>\n
El troyano hace esto comprobando el idioma del sistema del dispositivo infectado y apag\u00e1ndolo si es uno de los siguientes: ruso, azerbaiyano, armenio, bielorruso, kazajo, kirgu\u00eds, moldavo, uzbeko o tayiko.<\/p>\n
El libro de jugadas de Godfather<\/strong><\/h3>\nGodfather es una versi\u00f3n mejorada del troyano bancario Anubis, cuyo c\u00f3digo fuente se filtr\u00f3 en 2019.<\/p>\n
Group-IB descubri\u00f3 que tanto Anubis como Godfather tienen la misma base de c\u00f3digo, pero el protocolo y las capacidades de comunicaci\u00f3n de control y comando de este \u00faltimo se actualizaron.<\/p>\n
Los desarrolladores de Godfather tambi\u00e9n modificaron el algoritmo de cifrado de tr\u00e1fico de Anubis, actualizaron varias funcionalidades, como las OTP de Google Authenticator, y agregaron un m\u00f3dulo separado para administrar las conexiones inform\u00e1ticas de la red virtual.<\/p>\n
Adem\u00e1s, se han eliminado varias funcionalidades que se encuentran en Anubis, como la capacidad del troyano para cifrar archivos, grabar audio o analizar datos de GPS.<\/p>\n
Group-IB detect\u00f3 a Godfather por primera vez en junio de 2021<\/strong><\/h3>\nGodfather dej\u00f3 de circular en junio de 2022, lo que los analistas de Group-IB creen que se debi\u00f3 a que el malware se actualiz\u00f3 a\u00fan m\u00e1s.<\/p>\n
Godfather eventualmente reaparecer\u00eda en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.<\/p>\n
Una caracter\u00edstica distintiva del troyano es que se puede distribuir a trav\u00e9s de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la soluci\u00f3n Threat Intelligence de Group-IB.<\/p>\n
Adem\u00e1s, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compart\u00edan a trav\u00e9s de las descripciones de los canales de Telegram, como fue el caso de Anubis.<\/p>\n<\/a>Figura 2: Un usuario de Telegram solicita una revisi\u00f3n del troyano bancario Godfather<\/figcaption><\/figure>\nAl momento de escribir, todav\u00eda hay una falta de claridad sobre c\u00f3mo Godfather infecta exactamente los dispositivos.<\/p>\n
Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a trav\u00e9s de un an\u00e1lisis de la infraestructura de red del troyano, un dominio cuya direcci\u00f3n C&C era la de una aplicaci\u00f3n de Android.<\/p>\n
Si bien Group-IB no pudo obtener la carga \u00fatil, los analistas creen que una aplicaci\u00f3n maliciosa alojada en Google Play Store conten\u00eda el troyano Godfather.<\/p>\n<\/a>Figura 3: Infraestructura de red de Godfather, detallada por la herramienta Graph Network Analysis de Group-IB<\/figcaption><\/figure>\nArriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una caracter\u00edstica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicaci\u00f3n descargada (abajo).<\/p>\n<\/a>Figura 4: una captura de pantalla de la lista de Google Play Store para la aplicaci\u00f3n que se encuentra en la infraestructura de red de Godfather (Fuente: @0xabc0)<\/figcaption><\/figure>\nUna vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa leg\u00edtimo que se ejecuta una vez que una persona descarga una aplicaci\u00f3n de Play Store.<\/p>\n
El malware es capaz de emular la aplicaci\u00f3n leg\u00edtima de Google e indica al usuario que est\u00e1 “escaneando”. Sin embargo, el malware no est\u00e1 haciendo nada por el estilo.<\/p>\n
En su lugar, crea una notificaci\u00f3n de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.<\/p>\n
El malware, como \u201cGoogle Protect\u201d, tambi\u00e9n lanza un servicio para solicitar acceso a AccessibilityService, una funci\u00f3n de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.<\/p>\n
El acceso a AccessibilityService tambi\u00e9n se solicita una vez que el usuario presiona el bot\u00f3n “Escanear” en la aplicaci\u00f3n falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.<\/p>\n
Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo<\/strong><\/h3>\nEl usuario, que no tiene idea de que su dispositivo ahora est\u00e1 infectado con malware, contin\u00faa con sus actividades diarias.<\/p>\n
En este punto, Godfather entra en acci\u00f3n.<\/p>\n
Una caracter\u00edstica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, tambi\u00e9n conocidas como p\u00e1ginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones leg\u00edtimas.<\/p>\n
El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicaci\u00f3n leg\u00edtima dirigida por Godfather, o cuando interact\u00faa con una notificaci\u00f3n de se\u00f1uelo que falsifica una aplicaci\u00f3n bancaria o criptogr\u00e1fica espec\u00edfica en el dispositivo del usuario.<\/p>\n
Las falsificaciones web imitan las p\u00e1ginas de inicio de sesi\u00f3n de las aplicaciones leg\u00edtimas, y todos los datos que se ingresan en las p\u00e1ginas HTML falsas, como nombres de usuario y contrase\u00f1as, se extraen a los servidores de C&C.<\/p>\n
Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones leg\u00edtimas.<\/p>\n
Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones autom\u00e1ticas para recolectar c\u00f3digos de autenticaci\u00f3n de dos factores y drenar las cuentas de los usuarios.<\/p>\n
Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los m\u00e9todos utilizados por los actores malintencionados son motivo de preocupaci\u00f3n.<\/p>\n
<\/p>\n<\/a>Figura 5: falsificaciones de HTML contenidas en Godfather que imitan a empresas turcas seleccionadas<\/figcaption><\/figure>\n\u201cLa aparici\u00f3n de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware para actualizar sus productos.<\/p>\n
Los actores malintencionados pueden volver al c\u00f3digo fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos a\u00fan m\u00e1s peligrosos.<\/p>\n
Con una herramienta como Godfather, los actores de amenazas solo est\u00e1n limitados por su capacidad para crear falsificaciones web convincentes para una aplicaci\u00f3n en particular\u201d, dijo Artem Grischenko, analista junior de malware en Group-IB.<\/strong><\/p>\nPara minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos m\u00f3viles.<\/p>\n
Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que est\u00e1n descargando aplicaciones leg\u00edtimas, aplicaci\u00f3n verificada de estas fuentes y verifique qu\u00e9 permisos solicita una aplicaci\u00f3n una vez que se descarga.<\/p>\n
Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB<\/a> recomienda su soluci\u00f3n Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.<\/p>\nFraud Protection de Group-IB detecta las \u00faltimas t\u00e9cnicas de fraude, preparaci\u00f3n de phishing y otros tipos de ataques.<\/p>\n
De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilaci\u00f3n de datos personales.<\/p>\n
La soluci\u00f3n de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participaci\u00f3n del cliente y sin la necesidad de instalar software adicional.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Lea m\u00e1s sobre ciberseguridad<\/p>\n
Copa Mundial de la FIFA 2022: ALERTA identifican estafadores<\/a><\/p>\n30 de noviembre: D\u00eda Mundial de la Ciberseguridad<\/a><\/p>\nCiberseguridad Latam 2023: Netskope expone tendencias y predicciones<\/a><\/p>\nNavegador Web: \u00bfaislarlo comienza a ser tendencia 2023?<\/a><\/p>\n
Godfather dej\u00f3 de circular en junio de 2022, lo que los analistas de Group-IB creen que se debi\u00f3 a que el malware se actualiz\u00f3 a\u00fan m\u00e1s.<\/p>\n
Godfather eventualmente reaparecer\u00eda en septiembre de 2022, ahora con una funcionalidad WebSocket ligeramente modificada.<\/p>\n
Una caracter\u00edstica distintiva del troyano es que se puede distribuir a trav\u00e9s de un modelo de Malware-as-a-Service (MaaS), y esto se descubre gracias a las capacidades de monitoreo en tiempo real de Telegram de la soluci\u00f3n Threat Intelligence de Group-IB.<\/p>\n
Adem\u00e1s, los investigadores de Group-IB descubrieron que las direcciones de C&C para Godfather se compart\u00edan a trav\u00e9s de las descripciones de los canales de Telegram, como fue el caso de Anubis.<\/p>\n Al momento de escribir, todav\u00eda hay una falta de claridad sobre c\u00f3mo Godfather infecta exactamente los dispositivos.<\/p>\n Sin embargo, los investigadores de Group-IB Threat Intelligence descubrieron, a trav\u00e9s de un an\u00e1lisis de la infraestructura de red del troyano, un dominio cuya direcci\u00f3n C&C era la de una aplicaci\u00f3n de Android.<\/p>\n Si bien Group-IB no pudo obtener la carga \u00fatil, los analistas creen que una aplicaci\u00f3n maliciosa alojada en Google Play Store conten\u00eda el troyano Godfather.<\/p>\n Arriba hay una captura de pantalla de la herramienta Graph Network Analysis patentada de Group-IB, una caracter\u00edstica de la plataforma de riesgo unificado impulsada por inteligencia de Group-IB, que muestra enlaces entre las direcciones de C&C de Godfather y la aplicaci\u00f3n descargada (abajo).<\/p>\n Una vez que Godfather se descarga en un dispositivo, el troyano intenta lograr la persistencia imitando a Google Protect, un programa leg\u00edtimo que se ejecuta una vez que una persona descarga una aplicaci\u00f3n de Play Store.<\/p>\n El malware es capaz de emular la aplicaci\u00f3n leg\u00edtima de Google e indica al usuario que est\u00e1 “escaneando”. Sin embargo, el malware no est\u00e1 haciendo nada por el estilo.<\/p>\n En su lugar, crea una notificaci\u00f3n de “Google Protect” anclada y oculta su icono de la lista de aplicaciones instaladas.<\/p>\n El malware, como \u201cGoogle Protect\u201d, tambi\u00e9n lanza un servicio para solicitar acceso a AccessibilityService, una funci\u00f3n de Android utilizada por los desarrolladores para adaptar sus aplicaciones a usuarios con discapacidades.<\/p>\n El acceso a AccessibilityService tambi\u00e9n se solicita una vez que el usuario presiona el bot\u00f3n “Escanear” en la aplicaci\u00f3n falsa de Google Protect. Con acceso a AccessibilityService, Godfather otorga los permisos necesarios y comienza a comunicarse con el servidor C&C.<\/p>\n El usuario, que no tiene idea de que su dispositivo ahora est\u00e1 infectado con malware, contin\u00faa con sus actividades diarias.<\/p>\n En este punto, Godfather entra en acci\u00f3n.<\/p>\n Una caracter\u00edstica distintiva de Godfather, al igual que con muchos otros troyanos bancarios, es el uso de falsificaciones web, tambi\u00e9n conocidas como p\u00e1ginas HTML creadas por actores de amenazas que se muestran sobre aplicaciones leg\u00edtimas.<\/p>\n El usuario puede interactuar con estas falsificaciones web en dos etapas: cuando abre una aplicaci\u00f3n leg\u00edtima dirigida por Godfather, o cuando interact\u00faa con una notificaci\u00f3n de se\u00f1uelo que falsifica una aplicaci\u00f3n bancaria o criptogr\u00e1fica espec\u00edfica en el dispositivo del usuario.<\/p>\n Las falsificaciones web imitan las p\u00e1ginas de inicio de sesi\u00f3n de las aplicaciones leg\u00edtimas, y todos los datos que se ingresan en las p\u00e1ginas HTML falsas, como nombres de usuario y contrase\u00f1as, se extraen a los servidores de C&C.<\/p>\n Los actores de amenazas recolectan estas credenciales y luego las usan para ingresar a las aplicaciones leg\u00edtimas.<\/p>\n Con la ayuda de la funcionalidad de Godfather para filtrar notificaciones autom\u00e1ticas para recolectar c\u00f3digos de autenticaci\u00f3n de dos factores y drenar las cuentas de los usuarios.<\/p>\n Si bien Group-IB no tiene datos definitivos sobre la cantidad de dinero robado por los operadores de Godfather, los m\u00e9todos utilizados por los actores malintencionados son motivo de preocupaci\u00f3n.<\/p>\n \u201cLa aparici\u00f3n de Godfather subraya la capacidad de los actores de amenazas para editar y actualizar sus herramientas para mantener su eficacia a pesar de los esfuerzos de los proveedores de prevenci\u00f3n y detecci\u00f3n de malware para actualizar sus productos.<\/p>\n Los actores malintencionados pueden volver al c\u00f3digo fuente, actualizar los tipos de malware desactualizados y, en muchos sentidos, hacerlos a\u00fan m\u00e1s peligrosos.<\/p>\n Con una herramienta como Godfather, los actores de amenazas solo est\u00e1n limitados por su capacidad para crear falsificaciones web convincentes para una aplicaci\u00f3n en particular\u201d, dijo Artem Grischenko, analista junior de malware en Group-IB.<\/strong><\/p>\n Para minimizar el riesgo de descargar troyanos bancarios como Godfather, el equipo de Threat Intelligence de Group-IB recomienda a los usuarios que busquen siempre actualizaciones en sus dispositivos m\u00f3viles.<\/p>\n Eviten descargar aplicaciones de otras fuentes que no sean Google Play Store, se aseguren de que est\u00e1n descargando aplicaciones leg\u00edtimas, aplicaci\u00f3n verificada de estas fuentes y verifique qu\u00e9 permisos solicita una aplicaci\u00f3n una vez que se descarga.<\/p>\n Para las organizaciones que desean proteger a sus clientes de los ataques de los actores de amenazas, Group-IB<\/a> recomienda su soluci\u00f3n Fraud Protection, que monitorea las sesiones de los usuarios y evita que el malware defraude a sus clientes.<\/p>\n Fraud Protection de Group-IB detecta las \u00faltimas t\u00e9cnicas de fraude, preparaci\u00f3n de phishing y otros tipos de ataques.<\/p>\n De esta forma, Fraud Protection “atrapa” troyanos bancarios, detecta accesos remotos no autorizados, inyecciones web, ataques entre canales y recopilaci\u00f3n de datos personales.<\/p>\n La soluci\u00f3n de Group-IB implementa algoritmos patentados que ayudan a detectar dispositivos infectados sin la participaci\u00f3n del cliente y sin la necesidad de instalar software adicional.<\/p>\n <\/p>\n Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n Lea m\u00e1s sobre ciberseguridad<\/p>\n Copa Mundial de la FIFA 2022: ALERTA identifican estafadores<\/a><\/p>\n 30 de noviembre: D\u00eda Mundial de la Ciberseguridad<\/a><\/p>\n Ciberseguridad Latam 2023: Netskope expone tendencias y predicciones<\/a><\/p>\n Navegador Web: \u00bfaislarlo comienza a ser tendencia 2023?<\/a><\/p>\n<\/a><\/a><\/a>Justo cuando pensabas que estabas fuera, Godfather te atrae de nuevo<\/strong><\/h3>\n
<\/p>\n<\/a>