Банки и криптокошельки атаковал вирус "Крестный отец"

Эксперты Group-IB предупредили о новом банковском трояне — вредоносном приложении Godfather («Крестный отец»), которое атакует пользователей в 16 странах мира.

«Согласно новому исследованию Group-IB, жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов», — сообщила пресс-служба компании.

Вирус маскируется под одно из приложений в Play Market, криптокалькулятор шпионит за работой смартфона жертвы, и как только та заходит в приложение своего банка, ворует ее логин и пароль, после чего выводит деньги со счета, уточнил «Ведомостям» представитель компании. Данных об общей сумме похищенных у пользователей средств, а также названий банков, пользователи которых подверглись нападению, он не привёл.

«Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу», — отмечают в Group-IB.

В компании связывают это с тем, что разработчиками Godfather могут быть русскоязычные злоумышленники.

Впервые активность Godfather заметили в июне 2021 г. В июне 2022 г. он перестал функционировать, но в сентябре 2022 г. Godfather вернулся, уже с измененным функционалом. По данным Group-IB, в основе Godfather лежит одна из версий другого банковского трояна Anubis, чей исходный код был обнародован еще в 2019 г. Разработчики Godfather модернизировали его под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.

О работе трояна Godfather слышали и другие эксперты по информационной безопасности. «Это даже не один троян, это семейство троянов, которые созданы по одним лекалам», — обращает внимание технический директор АО «Синклит» Лука Сафонов. Пока Godfather не очень распространен, констатирует эксперт. В то же время, поскольку перевод средств из-за рубежа в РФ в настоящий момент осложнен, в России активность подобного рода хакеров, атакующих пользователей за границей, снижается, добавляет Сафонов.

Первые образцы вируса известны с конца 2021 г., самые свежие версии датируются серединой декабря 2022 г., добавляет руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков, пишут "Ведомости".