Godfather 恶意软件针对加密、银行应用程序

该网络钓鱼工具专门针对 Android 设备并窃取登录数据。

根据德国监管机构 BaFin 1 月 9 日的一份声明，一种名为“教父”的恶意软件针对加密应用程序和其他服务的用户。

BaFin 表示，教父影响了大约 400 个加密货币和银行应用程序。根据Group IB去年 12 月的另一份报告，该恶意软件更具体地针对 110 个加密货币交易所、94 个加密钱包和 215 个银行应用程序。

Godfather 通过在真实登录窗口之上显示虚假登录窗口来窃取用户的登录数据，从而欺骗用户将他们的数据输入到受监控的表单中。

Godfather 仅在 Android 设备上运行。它模仿 Google Protect 以确立自己的地位。然后，它会错误地扫描 Play 商店下载的恶意软件，并从已安装的应用程序列表中隐藏自己。通过模仿 Google Protect，Godfather 还可以利用 AccessibilityService 进一步获取设备访问权限并将数据中继给攻击者。

Godfather 专门尝试模仿安装在用户设备上的应用程序。但是，它还可以记录屏幕、启动键盘记录器、转接包含 2FA 代码的电话、发送短信以及使用各种其他策略。

尽管德国今天警告教父袭击事件，但袭击事件并非孤立于该国。IB 集团在其报告中表示，教父已针对 16 个国家/地区的用户，包括美国、土耳其、西班牙、加拿大、法国和英国。顺便说一句，设置为使用某些语言（包括俄语）的设备无法运行该恶意软件。

IB 组表示，教父部分是通过恶意 Google Play 应用程序传播的。然而，安全研究小组表示，对于这种特定的恶意软件如何感染设备，总体上“缺乏明确性”。

网络钓鱼恶意软件相当普遍。2022 年出现了一种名为Mars Stealer的类似恶意软件，2021 年出现了另一种名为Raccoon的恶意软件。

但是，可以在不感染用户设备的情况下完成网络钓鱼。此类攻击只能通过创建类似于真实对应物的虚假电子邮件和网站来实施，依赖于人为错误而不是受感染的设备。