Godfather ha infectado Apps de exchanges de criptomonedas y billeteras

0
980

La semana pasada, la empresa de ciberseguridad global Group-IB, con 19 años de experiencia en el sector, publicó un extenso y completo informe sobre las actividades de un virus troyano bancario desarrollado para el sistema operativo Android, que está causando estragos en Estados Unidos, España, Turquía, Canadá, Alemania, Francia y el Reino Unido.

El troyano Godfather (en español «Padrino») está diseñado para permitir que actores maliciosos roben y obtengan credenciales de inicio de sesión para las aplicaciones de la banca y otros servicios financieros, permitiendo así que las cuentas de las víctimas sean drenadas.

De acuerdo a las investigaciones de Group-IB, Godfather fue detectado por primera vez como un troyano de banca móvil, que roba datos bancarios y datos de las credenciales de algunos exchange de criptomonedas, en junio de 2021.

Y tras más de un año operando, en junio de este año, Godfather dejó de ser distribuido, al parecer mientras le actualizaban funciones, como de hecho ocurrió, pues se comenzó a redistribuir en septiembre de 2022 con una nueva funcionalidad de WebSocket.

Hasta el momento de la publicación de ese informe, las víctimas incluyen a usuarios de más de 400 objetivos internacionales, incluyendo las aplicaciones de la banca, billeteras de criptomonedas y por supuesto los intercambios de criptoactivos.

El troyano Godfather ha infectado 215 bancos internacionales, 94 monederos de criptomonedas y al menos 110 plataformas de intercambio de criptomonedas desde octubre del 2022, pero también ha atacado otros objetivos que incluyen 49 empresas con sede en EEUU, 31 establecidas en Turquía y unas 30 de España.

Según el informe de Group-IB, este virus forma parte de una vieja campaña de otro troyano bancario llamado Anubis, cuyo código fuente fue filtrado en 2019 y se distribuyó bajo el modelo de Malware-as-a-Service (en español «Malware-como-un-Servicio»).

Sin embargo, a medida que llegaron al mercado nuevas versiones de Android, donde se mejoró la detección de malware y la capacidad de prevención de los proveedores, muchas de las características del troyano Anubis dejaron de funcionar.

Godfather, fue desarrollado por algún actor malicioso usando el código fuente de Anubis como base, mejorando y modernizando sus características para que fuera operativo en las versiones más recientes de Android.

De allí que los investigadores de Group-IB, consideren que Godfather, es básicamente un Fork de Anubis. Entre los nuevos cambios, se modificó el protocolo de comunicación y capacidades del C&C “command-and-control” (en español «Comando y Control»).

Se piensa que troyano está siendo utilizado actualmente por ciberdelincuentes de origen ruso según la empresa de ciberseguridad global Group-IB, ya que llama la atención que Godfather se curiosamente, se desactiva en caso que, la víctima utilice alguno de los idiomas de la Comunidad de Estados Independientes (CEI).

En otras palabras, si el idioma del teléfono móvil tiene activado: RU (Rusia), AZ (Azerbaiyán), AM (Armenia), POR (Bielorrusia), KZ (Kazajstán), KG (Kirguistán), MD (Moldavia), UZ (Uzbekistán) o TJ (Tayikistán), repúblicas que conformaban la Unión Soviética, Godfather simplemente se apaga y no vulnera los datos del dispositivo.

De momento el informe de Group-IB, aunque no especifica cuáles Apps de billeteras de criptomonedas han sido atacadas, la firma de ciberseguridad advierte que la técnica empleada por el troyano Godfather, es la simple suplantación.

No obstante, en una investigación anterior de la empresa de ciberseguridad Threat Fabric, la lista de las Apps móviles que son objetivo de Anubis, contiene un total de 378 aplicaciones únicas, entre las que se incluyen bancos y servicios de criptomonedas.

En la lista se detectó que Anubis, podía atacar los servicios de LocalBitcoins – Buy and sell Bitcoin (com.localbitcoins.exchange), LocalBitCoins Official (com.localbitcoinsmbapp), Poloniex (com.plunien.poloniex), Coinbase Tracker (com.portfolio.coinbase_tracker) e incluso la billetera de Mycelium Bitcoin Wallet (com.mycelium.wallet).

Además, se incluyen en la lista de objetivos las Apps de: Binance – Cryptocurrency Exchange (com.binance.dev), Binance: Cryptocurrency & Bitcoin Exchange (com.binance.odapplications), Bitfinex (com.bitfinex.bfxapp), Blockfolio – Bitcoin and Cryptocurrency Tracker (com.blockfolio.blockfolio), entre otros.

Debido a esta amplia lista de Apps objetivo de Anubis, “el virus troyano que sirvió de base para el Fork de Godfather”, no se descarta que este último pueda atacar estos y otros servicios de criptomonedas, suplantando las pantallas y robando los datos de sesión, ya que la lista pasó de 378 a 400 Apps objetivo.

Además, Godfather puede grabar la pantalla del dispositivo e incluso permitir el reenvío de llamadas, enviar mensajes SMS, establecer conexiones WebSocket, habilitar un keylogger, bloquear y atenuar la pantalla, exfiltrar notificaciones push, hasta crear una conexión vía VNC con el dispositivo para su control remoto, hasta suplantar a Google Play Protect entre otras funcionalidades.

De acuerdo al informe, se pudo conocer que Godfather, ha estado activo entre junio 2021 y octubre 2022. Tiempo en el que ha estado recopilando datos bancarios cómo nombres de usuario y contraseñas de sitios Web y Apps utilizados en el dispositivo, SMS, llamadas e incluso enviar notificaciones que desvían los sistemas de autenticación de dos factores (2FA, por sus siglas en inglés).

Aunque parezca algo increíble, el virus Godfather se encuentra disponible en Telegram y puede ser adquirido bajo la modalidad de Malware-as-a-Service por cualquier persona en el mundo que desee establecer su propia campaña maliciosa, lo cual lo hace aún más peligroso.

Por ahora, Group-IB no ha podido identificar ni posee datos definitivos sobre la cantidad de dinero y criptomonedas que han sido robados por los ciberdelincuentes detrás de Godfather, pero sin duda los métodos que utilizan estos actores maliciosos son causa de preocupación en la comunidad.

Es importante que todos los usuarios e inversores de criptoactivos, tengan claro que deben emplear teléfonos con las últimas versiones de Android y con las últimas actualizaciones del sistema operativo.

También es recomendable, usar un segundo dispositivo sólo para las aplicaciones bancarias y de cripto, mientras se emplea el principal para comunicaciones y ocio.

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.