Group-IB, azienda specializzata in cybersicurezza, ha pubblicato il proprio report su Godfather, un trojan bancario per Android attualmente utilizzato dagli hacker per violare le più importanti app di tipo banking ed exchange di criptovalute in 16 Paesi, Italia inclusa.
A oggi, Godfather ha colpito 215 app bancarie, 95 fornitori di wallet per criptovalute e 110 piattaforme di crypto-exchange. Fra le vittime, si contano anche 12 aziende con sede in Italia.
Il trojan ha la capacità di generare pagine e schermate fasulle convincenti, mostrandole agli utenti colpiti in sovrapposizione alle app reali. In questo modo, il malware riesce a ottenere le credenziali di accesso e bypassare l'autenticazione a due fattori per accedere ai conti delle vittime e prelevarne i fondi.
Godfather è attivo da almeno il 2021, e risulta aggiornato a settembre 2022. Nel suo codice, è stata riscontrata una funzionalità che impedisce al trojan di attaccare utenti di lingua russa o una delle lingue parlate nell'ex Unione Sovietica.
Gli sviluppatori del malware si sono basati sul codice sorgente di Anubis, un trojan bancario molto utilizzato, ma le cui funzionalità sono state limitate dagli ultimi aggiornamenti di Android. Godfather è praticamente una versione moderna di Anubis, pensata per le ultime versioni del sistema operativo mobile.
Secondo le ricerche di Group-IB, in base all'analisi dell'infrastruttura di rete, il trojan viene distribuito tramite app fake pubblicate su Google Play.
Per limitare la diffusione di Godfather, Group-IB ricorda agli utenti di tenere sempre aggiornati i propri dispositivi mobili, evitare di scaricare app al di fuori di Google Play Store, e verificare sempre che le applicazioni installate siano legittime e provenienti da fonti attendibili, esaminando con attenzione anche le autorizzazioni richieste dalle app.
Leggi il report completo di Group-IB