‘Godfather’ adlı bir Android bankacılığı kötü amaçlı yazılımı, 16 ülkedeki kullanıcıları hedef alarak 400’den fazla çevrimiçi bankacılık sitesi ve kripto para borsası için hesap kimlik bilgilerini çalmaya çalışıyor.
Kötü amaçlı yazılım, kurbanlar sitede oturum açmaya çalıştığında bankacılık ve kripto borsası uygulamalarının oturum açma formlarının üzerine yerleştirilmiş oturum açma ekranları oluşturarak, kullanıcıyı iyi hazırlanmış HTML kimlik avı sayfalarına kimlik bilgilerini girmesi için kandırıyor.
Godfather truva atı, bir zamanlar yaygın olarak kullanılan bir bankacılık truva atı olan ve daha yeni Android savunmalarını geçememesi nedeniyle kademeli olarak kullanım dışı kalan Anubis’in halefi olduğuna inanan Group-IB analistleri tarafından keşfedildi. Group-IB, Google Play Store’daki uygulamalarda kötü amaçlı yazılımın sınırlı bir dağılımını buldu; ancak, ana dağıtım kanalları keşfedilmedi, bu nedenle ilk bulaşma yöntemi büyük ölçüde bilinmiyor.
ThreatFabric, Godfather’ı ilk olarak Mart 2021’de keşfetti , ancak o zamandan beri çok büyük kod yükseltmeleri ve iyileştirmelerden geçti.
Ayrıca Cyble dün, Türkiye’de popüler bir müzik aracını taklit eden ve Google Play üzerinden 10 milyon kez indirilen Godfather etkinliğindeki artışı vurgulayan bir rapor yayınladı.
Godfather tarafından hedeflenen tüm uygulamaların neredeyse yarısı yani 215 tanesi bankacılık uygulamaları. Bunların bulunduğu ülkeler şöyle; Amerika Birleşik Devletleri (49), Türkiye (31), İspanya (30), Kanada (22), Fransa (20), Almanya ( 19) ve İngiltere (17).
Godfather, bankacılık uygulamalarının yanı sıra 110 kripto para takas platformunu ve 94 kripto para cüzdan uygulamasını hedefliyor.
İlginç bir şekilde, truva atı sistem dilini kontrol edecek şekilde yapılandırılmış ve Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovaca, Özbekçe veya Tacikçe olarak ayarlanmışsa çalışmasını durduruyor. Bu, Godfather’ın yazarlarının Rusça konuştuğunun ve muhtemelen BDT (Bağımsız Devletler Topluluğu) bölgesinde ikamet ettiğinin göstergesi olarak yorumlanıyor.
Nasıl Çalışıyor?
Godfather, cihaza yüklendikten sonra tüm Android cihazlarda bulunan standart bir güvenlik aracı olan ‘Google Protect’i taklit ediyor. Kötü amaçlı yazılım, cihazda bir tarama eylemini taklit edecek kadar ileri gidiyor. Bu taramanın amacı, meşru gibi görünen bir araçtan Erişilebilirlik Hizmetine erişim talep etmek olarak belirtiliyor. Kurban isteği onayladığında, kötü amaçlı yazılım, kötü amaçlı davranış gerçekleştirmek için ihtiyaç duyduğu tüm izinleri kendisine verebiliyor.
Buna SMS metinlerine ve bildirimlerine erişim, ekran kaydı, kişiler, arama yapma, harici depolamaya yazma ve cihaz durumunu okuma dahil.
Ayrıca Erişilebilirlik Hizmeti, kullanıcının truva atını kaldırmasını, Google Authenticator OTP’lerini (tek seferlik şifreler) sızdırmasını, komutları işlemesini ve PIN ve şifre alanlarının içeriğini çalmasını engellemek için kullanılıyor.
Godfather, C2 sunucusundan eşleşen sızmaları (kimlik bilgilerini çalmak için sahte HTML oturum açma formları) almak için yüklü uygulamaların bir listesini çıkarıyor.
