新型Android木马程序针对全球银行和加密货币用户窃取凭据

最近的网络安全研究中发现，一种名为 GodFather 的 Android 木马程序被用于针对银行和加密货币用户窃取敏感数据，目前已在全球超16个国家影响了400多个银行和加密货币应用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该恶意木马程序和许多针对Android生态的金融木马类似，都是试图通过在目标APP应用上生成覆盖屏幕的页面，以此来窃取用户的凭据。

GodFather木马程序于 2021 年 6 月首次被检测到，并于 2022 年 3 月被公开披露，该木马程序还包含原生后门功能，通过滥用 Android 的辅助功能 API 来录制视频、记录击键、捕获屏幕截图以及收集短信和通话记录等。

网络安全研究人员在对该恶意木马程序进行分析后，表明该木马是 Anubis 的改进版，Anubis是另一种银行木马程序，其源代码于 2019 年 1 月在地下论坛中泄露。

这两个恶意软件家族之间的相似之处扩展到接收命令和控制 (C2) 地址的方法、C2 命令的实施以及网络伪造、代理和屏幕捕获模块。但是，录音和位置跟踪功能已被删除。

有趣的是，GodFather木马程序对苏联相关国家的用户不感兴趣，如果潜在受害者的系统语言恰好是苏联地区语言之一的话，木马就会自动关闭不再运行。

GodFather木马程序之所以脱颖而出，是因为它通过解密使用 Blowfish 密码编码的参与者控制的 Telegram 频道描述来检索其命令和控制 (C2) 服务器地址。

用于感染用户设备的确切作案手法目前尚不清楚，尽管对攻击者的命令和控制 (C2) 基础设施的检查表明木马化的滴管应用程序是一种潜在的传播媒介。

这是基于一个 C2 地址，该地址链接到一个名为 Currency Converter Plus (com.plus.currencyconverter) 的应用程序，该应用程序于 2022 年 6 月托管在 Google Play 商店中。

安全研究人员检查的另一个工件模拟了合法的Google Play Protect服务，该服务在启动后会创建一个持续通知并在已安装应用程序列表中隐藏其图标。

GodFather 并不是唯一基于 Anubis 的 Android 恶意软件。今年 7 月初，名为Falcon的 Anubis 的修改版本通过冒充国有 VTB 银行针对俄罗斯用户进行定向攻击。