بدافزار اندرویدی گادفادر ۹۴ کیفپول رمزارزی مورد هدف حمله قرار داد
گادفادر در ماه سپتامبر ۲۰۲۲ مجددا با هدف انتقام فعال شد و ۴۰۰ شرکت امور مالی را از جمله ۲۱۵ بانک بینالمللی، ۹۴ کیفپول رمزارزی و ۱۱۰ صرافی رمزارزی هدف گرفت.
به گزارش پایگاه خبری بانکداری الکترونیک، بدافزار اندرویدی گادفادر (Godfather) پس از چند ماه عدم فعالیت، برای انتقام آمده و بیش از ۴۰۰ شرکت امور مالی بینالمللی را هدف گرفته است. این تروجان برای دسترسی به اطلاعات ورود به حساب مشتریان صفحات جعلی تولید میکند و این تازه آغاز ماجرا است. گادفادر همچنین با تقلید ابزارهای امنیتی گوگل کنترل کامل دستگاه هدف را به دست میگیرد.
گادفادر توسط شرکت بررسی بدافزاری Group I-B شناسایی شده و اولین مورد آن مربوط به ژوئن سال ۲۰۲۱ است. باور میرود که منشا این بدافزار به یک هکر بانکی شناخته شده به نام انوبیس (Anubis) میرسد. گادفادر تا ماه ژوئن ۲۰۲۲ فعالیت کمی داشت و به یک باره ناپدید شد. به نظر اپراتورهای این بد افزار در این مدت در حال آماده سازی یک نسخه جدید بودند. گادفادر در ماه سپتامبر ۲۰۲۲ مجددا با هدف انتقام فعال شد و ۴۰۰ شرکت امور مالی را از جمله ۲۱۵ بانک بینالمللی، ۹۴ کیفپول رمزارزی و ۱۱۰ صرافی رمزارزی هدف گرفت.
گادفادر پس از نصب روی دستگاه صفحات ورود به حساب جعلی تولید میکند و سپس نام کاربری و رمز عبور را به سرقت میبرد. دیگر مکانیزم جالب این بدافزار زمانی به کار میآید که بسیاری از بانکها و شرکتهای رمزارزی گام مضاعفی را برای ورود به حساب در نظر میگیرند. گادفادر پس از نصب خود را به جای هشدار Google Play Protect جا میزند. درنتیجه برخی از کاربران به گمان اینکه با هشداری از سیستم امنیتی اندروید روبرو هستند، اجازه دسترسی را به بدافزار میدهند. از این لحظه به بعد، گادفادر اتفاقات صحفه را ثبت میکند، پیامکها را میخواند، هشدارهای جعلی ارسال میکند، تماس میگیرد و خیری کارهای دیگر (تقریبا تمام کارهایی که برای دسترسی به حساب بانکی یا کیفپول رمزارزی نیاز است.)
این بدافزار به نظر از طریق اپلیکیشنهای آلودهای در پلیاستور منتشر میشود. Group I-B مشخص نکرده است که چه کسی از این بدافزار نفع برده و یا آن را ساخته است اما میگوید قویا درمورد روسی بودن زبان آنها مشکوک است. این بدافزار مجهز به یک کلید مرگ است که تنظیمات زبان سیستم عامل را بررسی میکند. اگر در این بررسی متوجه زبانی متعلق به کشورهای عضو شوروی سابق (به جز اوکراینی) شود، به جای سرقت داده به کار خود پایان میدهد. با اینکه این موضوع مدرک موثقی محسوب نمیشود اما بسیار مشکوک است.
Group I-B پس از بررسی کانالهای تلگرامی به این باور رسده است که گادفادر نمونهای از بدافزار به عنوان خدمت (MaaS) است. سازندگان این بد افزار در واقع مجوز آن را در اختیار شخص ثالثی قرار میدهند و درنتیجه خریدار بدون ساخت بدافزار یا زیرساخت مناسب به اطلاعات مالی ارزشمند دسترسی پیدا میکند. این بدافزار موسسات مختلفی در سراسر جهان از جمله آمریکا (۴۹ نقطه)، ترکیه (۳۱ نقطه)، اسپانیا (۳۰ نقطه) و کانادا (۲۲ نقطه) را هدف گرفته است. اگر به این بدافزار آلوده شدهاید، دسترسی تمام اپلیکیشنهای نصب شده (در بخش Settings > Accessibility) را لغو کرده و رمز عبورهای مهم را از طریق دستگاه دیگری تغییر دهید.
منبع: Extremetech