一款名为“教父”的安卓手机银行恶意软件一直在攻击并窃取16个国家的安卓用户的银行和加密货币兑换凭证报告(在新窗口打开).
的恶意软件该病毒还针对400家国际金融公司,其工作原理是在合法的银行和加密交易应用程序的登录表单上生成虚假登录屏幕。根据恶意软件分析师Group-IB(在新窗口打开),任何输入虚假登录的数据,如用户名和密码,都将被收集。
Group-IB于2021年6月首次检测到“教父”,并将其描述为一种名为Anubis的旧银行木马的继承者,由于Android的更新和“恶意软件检测和预防提供商的努力”,Anubis已经过时。
2022年6月,《教父》停止流通,直到9月,一个经过修改、更有效的版本重新出现。截至10月,215家国际银行、94个加密货币钱包和110个加密货币交易平台成为了教父的目标。分析人士表示,大多数目标公司位于美国(49家)、土耳其(31家)、西班牙(30家)、加拿大(22家)、德国(20家)、法国(19家)和英国(17家)。
推特(在新窗口打开)
在一篇博客文章中,Group-IB声称,如果被恶意软件攻击的系统的语言偏好包括前苏联国家的语言,木马就会关闭,这“表明”它的开发人员是说俄语的。
一旦安装到设备上,“教父”就会模仿谷歌播放保护(在新窗口打开)它是Android设备上的默认安全工具,甚至可以模拟扫描动作。这是为了请求访问辅助服务,如果受害者批准,“教父”就可以访问SMS文本和通知、屏幕记录、联系人、打电话、写入外部存储和读取设备状态。
在这一点上,由于Android的辅助服务被滥用,恶意软件可以做最肮脏的工作:窃取密码,包括谷歌验证码,并从受害者设备上安装的应用程序生成虚假通知,将他们带到网络钓鱼页面。据Bleeping Computer报道,“教父”还可以利用其屏幕记录功能记录受害者在任何应用程序或网站上输入的用户名和密码。
该恶意软件还可以锁定和调暗屏幕,窃取和阻止通知,并在设备上启用静音模式。
谷歌的一位发言人告诉PCMag:“谷歌Play Protect会检查使用谷歌Play Services的Android设备是否有来自其他来源的潜在有害应用。用户受到谷歌Play Protect的保护,它会在安卓设备上屏蔽这些被识别出的恶意应用程序。”