德國聯邦金融監管局 9 日警告,近期出現一種名為「Godfather」的惡意軟體,已經攻擊超過 400 個銀行及加密貨幣平台 APP ,惡意軟體究竟是如何攻擊用戶設備,還有待確認,但須留意的是,該惡意軟體能獲取 2FA 驗證碼,進而竊取受害者的帳戶和錢包。
(前情提要:報告:北韓駭客偽裝「加密貨幣VC」,釣魚誘導投資者安裝惡意軟體)
(背景補充:V神個資也被賣!「4億推特用戶數據」流入黑市,駭客以此勒索馬斯克)
德國聯邦金融監管局(BaFin)在 9 日發布公告警告,應小心一款名為「Godfather」的惡意軟體,該軟體已攻擊超過 400 個銀行及加密貨幣平台 APP ,包括在德國營運的 APP,Godfather 通過顯示普通銀行和加密貨幣相關應用程序的假網站來攻擊用戶,進而竊取登入數據。
根據德國聯邦金融監管局的說法,惡意軟體究竟是如何攻擊用戶設備,還有待確認,但眾所周知的是,惡意軟體會藉由推送通知,來獲取雙重認證的驗證碼。德國聯邦金融監管局指出::
有了這些數據,網路犯罪分子或許能夠獲取消費者的帳戶和錢包。
資安業者 Group IB 此前估計,已有超過 400 個加密貨幣和銀行相關 APP 成為攻擊目標,包括約 110 個加密貨幣交易平台、94 個加密貨幣錢包和 215 個銀行應用,攻擊範圍遍及全球 16 個國家 / 地區,包括美國、土耳其、西班牙、加拿大、法國和英國。
Group-IB’s #ThreatIntelligence detected more than 400 international financial companies targeted by the #Godfather #Android banking #Trojan between June 2021 and October 2022. Godfather’s predecessor is another #banking Trojan named #Anubis:https://t.co/Kf2IGvrLnk pic.twitter.com/JERnAuNfAC
— Group-IB Global (@GroupIB) December 21, 2022
CryptoSlate 報導,Godfather 僅在 Android 設備上運行,通過在真實的登入入口上顯示虛假的登入入口,來竊取用戶的登入數據,從而欺騙用戶、讓他們將數據輸入到一個受監控的表單中。
Godfather 會利用 Android 的輔助功能(Accessibility Service),來獲得設備訪問權和中繼數據給攻擊者,此外,Godfather 除了能嘗試模仿安裝在用戶設備上的應用,還能夠記錄螢幕、啟動鍵盤記錄器、轉接包含 2FA 驗證碼的電話、傳送簡訊,以及使用各種其他攻擊策略。
疑透過惡意 Google Play 應用傳播
Group IB 認為,Godfather 部分是通過惡意的 Google Play 應用所傳播,不過對於這種特殊的惡意軟體究竟是如何感染設備的,Group IB 直言,整體上仍「缺乏清晰度」。
有趣的是,Group-IB 發現,Godfather 會阻止木馬攻擊使用俄語或前蘇聯加盟共和國語言的用戶,這可能表明開發者是俄國人,Godfather 會檢查受感染設備的系統語言,如果是俄語、阿塞拜疆語、亞美尼亞語、白俄羅斯語、哈薩克語、吉爾吉斯語、摩爾多瓦語、烏茲別克語或塔吉克語,此惡意軟體會關閉。
動區提醒,為了防範此類惡意軟體,Android 用戶可更新至最新版本的安全性更新,近期不要安裝來路不明的APK 檔案,或點擊不明連結與釣魚文件。
📍相關報導📍
Defrost Finance 否認監守自盜!稱駭客歸還 1,200 萬鎂,社群存疑被逼急了