Gli analisti di Group-IB hanno scoperto un nuovo banking malware per Android, chiamato Godfather. Secondo gli esperti sarebbe il successore del banking trojan Anubis. In 16 Paesi, ha tentato di rubare credenziali di account di 400 siti di banking online e servizi di scambio di criptovalute, imitando Google Protect.
“Godfather”, commenta Pierguido Iezzi, Ceo di Swascan, “è l’ultimo in una lunga lista di malware che mira ai nostri dati, credenziali, identità digitale”. Ecco come agisce e come difendersi.
Indice degli argomenti
Godfather, il nuovo banking malware per Android
Il malware genera screen di login che si sovrappongono ai login form di 215 app di banking, 110 crypto exchange e 94 criptowallet. Le app bancarie prese di mira sono soprattutto negli Usa (49), Turchia (31), Spagna (30), Canada (22), Francia (20), Germania (19) e UK (17).
Quando le vittime vogliono accedere al sito, Godfather inganna l’utente e lo conduce a immettere le proprie credenziali su una pagina di phishing HTML creata ad arte.
“Anche in questo caso – come per IcedID, Emotet e Qbot – stiamo parlando di un software malevolo già noto e conosciuto”, spiega Pierguido Iezzi.
Infatti ThreatFabric scoprì Godfather nel marzo 2021, ma da allora ha subito un’evoluzione e un upgrade a livello di codice. Adesso Cyble ha pubblicato un report da cui emerge un aumento dell’attivitàdi Godfather, che spinge un’app che imita un tool musicale popolare in Turchia, che ha registrato 10 milioni di download via Google Play.
“Due sono gli elementi distintivi di Godfather: la capacità di innovazione e la capacità di diffusione”.
“Parliamo di innovazione in termini di emulare un vasto numero di portali legittimi per arrivare alla sottrazione delle credenziali”, mette in guardia Iezzi: “Invece evidenziamo la capacità di diffusione in termini di capillarità e diversificazione dei vettori di infezione; dal phishing alle mobile app”.
“Innovazione e diffusione efficace sono, d’altronde, gli elementi caratteristici di quei malware ‘di successo’ che ci troviamo ad affrontare quotidianamente”, sottolinea Iezzi: “Un binomio ‘vincente’ che ha l’unico obiettivo di raggiungere il maggior numero possibile di target”.
“Una strategia ormai consolidata e che conosciamo”, ricorda l’esperto di cyber security: “Ecco quindi che la questione non diventa più come fronteggiare Godfather, ma come strutturare misure di sicurezza efficaci per contrastare le strategie messe in atto dagli operatori di questi malware”.
I dettagli
Godfather imita Google Protect, un security tool standard su tutti i dispositivi Android.
L’obiettivo è richiedere l’accesso al servizio Accessibility da parte di ciò che appare come uno strumento legittimo. Una volta che la vittima approva la richiesta, il malware ottiene i permessi di cui ha bisogno: l’accesso ai testi SMS e notifiche, registrazione dello schermo, contatti, effettuare chiamate, usare storage esterni e leggere lo status del dispositivo.
Inoltre, l’abuso dell’Accessibility Service impedisce all’utente di rimuovere il trojan, per esfiltrare Google Authenticator OTPs (le password one-time), processare i comandi e rubare PIN e password.
Godfather esfiltra una lista di app installate per ricevere “matching injections” (fasulle pagine HTML di login, per rubare le credenziali) dai server C2.
Come proteggersi
“Non dobbiamo ‘inseguire’ i singoli malware”, spiega Iezzi, invece “è necessario contrastare i vettori di infezione comune. L’approccio è partire dalla consapevolezza dei rischi e quindi attraverso attività di prevenzione partendo dalla formazione e sensibilizzazione e strumenti antivirus e EDR”.
Quindi, la priorità è evitare di scaricare app da marketplace non ufficiali. Ma non basta.
“Se questo approccio può essere sufficiente per i privati, non è adeguato per le aziende. In questo caso è necessario approcciare le misure di sicurezza attraverso l’adozione di un Cybersecurity Framework Aziendale dotato di sicurezza predittiva basato sulla Cyber Threat Intelligence, sicurezza preventiva che garantisca un’analisi del rischio a livello tecnologico, umano, organizzativo e delle terze parti. Il Framework Cyber si completa con il layer di sicurezza proattiva tramite SOC e IRT che permettono e garantiscono la capacità di detection e reaction”, conclude Iezzi.
