Godfather è il nome di un malware recentemente scoperto dagli esperti di sicurezza di Group-IB che sarebbe stato sfruttato per sferrare attacchi contro gli utenti di banche ed exchange di criptovalute in ben 16 diverse nazioni tra cui anche la Penisola. Nello specifico parliamo di una minaccia pensata per essere veicolata tramite il sistema operativo Android.
Godfather è infatti di un pericoloso banking trojan che ha lo scopo di sottrarre credenziali per l’autenticazione nei siti Web utilizzati dai correntisti. Fino ad ora l’attività malevola ad esso collegata avrebbe già coinvolto oltre un centinaio di crypto-exchange, più di una novantina di wallet di criptovalute e 25 applicazioni per il mobile banking.
Si tratta inoltre di un malware sviluppato con cura, probabilmente da un gruppo di cybercriminali residenti in Russia, questo anche perché l’attacco viene proposto in lingue differenti adattandosi alle caratteristiche della potenziale vittima. Tutto parte da alcune applicazioni per il Robottino Verde che una volta installate lanciano l’esecuzione di Godfather.
Quest’ultimo propone una finestra molto simile a quella di Google Protect, attraverso di essa vengono richiesti dei permessi di accesso al sistema e successivamente viene avviata una finta scansione anti-malware grazie alla quale il trojan riesce a connettersi ad un server esterno. In questo modo gli attaccanti riescono a controllare il terminale colpito.
Nell’ultima parte dell’attacco Godfather sovrappone una propria schermata di login a quella dell’applicazione bancaria usata, in questo modo cattura le credenziali e le invia al server remoto. Il malware è inoltre in grado di bipassare l’autenticazione a due fattori intercettando notifiche ed SMS nonché di operare da keylogger per registrare tutto ciò che accade sullo schermo.