Škodlivý kód, který dostal pojmenování Godfather, byl poprvé objeven v březnu 2021. Od té doby prošel několika fázemi revizí a vylepšení. Podle informací, které zveřejnil server Bleeping Computer, jej kybernetičtí zločinci v současné době zneužívají k získání přístupových údajů k bankovním účtům a kryptopeněženkám obětí. Šíří se po celém světě.
"Kmotr" se specializuje na zneužívání čtyř set značek z finančního sektoru. Z nich je 215 přímo bankovních aplikací.
Uživatelé Androidu v ohrožení: jak škodlivý software funguje?
| Zdroj: Tech Daily/Unsplash
Princip funkce malwaru Godfather zneužívá ochranný mechanismus Googlu pro aplikační platformu Obchod Play. Jakmile se trojský kůň dostane do zařízení oběti, napodobí službu Google Protect a ovládne řízení přístupových služeb. Jejich prostřednictvím si poté může udělovat všechna potřebná oprávnění. Pokud by se v takto zmanipulovaném prostředí chtěl uživatel přihlásit do napadené bankovní aplikace, zobrazí se podvržená vstupní obrazovka. Zadané přihlašovací údaje jsou po odeslání přesměrovány přímo do rukou podvodníků. Pro uživatele to v podstatě není rozpoznatelné.
Zajímavé je, že se malware neaktivuje, pokud je jako systémový jazyk nastavena ruština, ázerbájdžánština, arménština, běloruština, kazaština, kyrgyzština, moldavština, uzbečtina nebo tádžičtina. To by mohlo znamenat, že tvůrci malwaru pocházejí z některé z těchto zemí.
Zatím není úplně jasné, jak se malware Godfather do zařízení oběti dostává. Na platformě Google Play bylo do této chvíle nalezeno pouze několik aplikací, které slouží jako droppery pro tento malware. Uživatelé by se měli chránit tím, že nebudou otevírat podezřelé e-mailové přílohy nebo odkazy, a budou instalovat aplikace pouze z důvěryhodných zdrojů.
Zdroj: Bleeping Computer
