حمله بدافزار اندرویدی گادفادر به کیف‌پول‌های رمزارزی و حساب‌های بانکی!

بدافزار اندرویدی گادفادر (Godfather) پس چند ماه غیبت، به سراغ حساب‌های بانکی و کیف پول رمزارزها، رفته و و بیش از 400 شرکت امور مالی بین‌المللی را هدف دارد.

بدافزار اندرویدی گادفادر توسط شرکت بررسی بدافزاری Group I-B مورد شناسایی قرار گرفت. اولین مورد شناسایی آن به ژوئن سال 2021 بازمی‌گردد. به نظر این بدافزار با اقدامات یک هکر بانکی شناخته‌شده به نام انوبیس (Anubis) شروع به فعالیت کرده است.

نحوه کار بدافزار اندرویدی گادفادر به این صورت است؛ این بدافزار پس از نصب روی دستگاه صفحات ورود به حساب جعلی تولید کرده و نام کاربری و رمز عبور را به سرقت می‌برد. مکانیسم جالب این بدافزار هنگامی کاربرد بیشتر و قوی‌تری می‌یابد که بسیاری از بانک‌ها و شرکت‌های رمزارزی اقداماتی برای ورود به حساب انجام می‌دهند.

گادفادر پس از نصب با هشدار Google Play Protect نمایان می‌شود. در نتیجه برخی از کاربران به تصور اینکه با هشداری از سیستم امنیتی اندروید مواجه بوده، اجازه دسترسی را به بدافزار می‌دهند. از این لحظه به بعد، دیگر گادفادر به بسیاری از امکانات اعم از ثبت اتفاقات صفحه نمایش، خواندن پیامک‌ها، ارسال هشدار‌های جعلی، تماس‌گیری و خیلی کارهای دیگر دسترسی دارد. تقریباً این مجوز تمامی کارهای مرتبط با دسترسی به حساب بانکی یا کیف‌پول رمزارزی را شامل می‌شود.

بیشتر بخوانید: بحران خروج دارایی از بایننس ؛ آیا بزرگترین صرافی بازار رمزارزها به سرنوشت FTX دچار می‌شود؟

بازگشت قدرتمند بدافزار اندرویدی گادفادر به هدف انتقام

گادفادر تا ماه ژوئن 2022 فعالیت کمی به ثبت رساند و به یکباره ناپدید شد. احتمالاً اپراتورهای این بدافزار طی این مدت مشغول آماده‌سازی یک نسخه جدید بودند. زیرا گادفادر در ماه سپتامبر 2022 (شهریور 1401) مجدداً با هدف انتقام فعال شده و 400 شرکت امور مالی از جمله 215 بانک بین‌المللی، 94 کیف‌پول رمزارزی و 110 صرافی رمزارزی را مورد هدف قرار داد.

این بدافزار از طریق اپلیکیشن‌های آلوده‌ای در پلی‌استور انتشار می‌یابد. Group I-B مشخص نکرده است که چه کسی از این بدافزار منتفع شده یا سازنده آن کیست. اما با توجه به روسی بودن زبان آن‌ها بسیار به این موضوع مشکوک است.

این بدافزار همچنین یک کلید مرگ دارد که تنظیمات زبان سیستم‌عامل را مورد بررسی قرار می‌دهد. اگر در این بررسی متوجه زبانی متعلق به کشور‌های عضو شوروی سابق (به جز اوکراینی) شود، داده‌ای را به سرقت نبرده و  به کار خود پایان می‌دهد. البته این موضوع مدرک موثقی به حساب نمی‌آید اما بسیار مشکوک به نظر می‌رسد.

به هر حال Group I-B پس از بررسی کانال‌های تلگرامی متوجه شده که گادفادر نمونه‌ای از بدافزار به عنوان خدمت (MaaS) است. سازندگان این بدافزار در واقع مجوز آن را در اختیار شخص ثالثی قرار داده و به دنبال آن خریدار بدون ساخت بدافزار یا زیرساخت مناسب به اطلاعات مالی ارزشمندی دسترسی می‌یابد.

این بدافزار موسسات مختلفی در سراسر جهان از جمله آمریکا (49 نقطه)، ترکیه (31 نقطه)، اسپانیا (30 نقطه) و کانادا (22 نقطه) مورد هدف قرار داده است. در صورت آلودگی دستگاه شما به این بدافزار، دسترسی تمام اپلیکیشن‌های نصب‌شده (در بخش Settings > Accessibility) را لغو کرده و رمز عبورهای مهم را از طریق دستگاه دیگری تغییر دهید.

بیشتر بخوانید:

نظر شما درباره حملات مجدد بدافزار اندرویدی گادفادر چیست؟ نظرات خود را در بخش کامنت‌ها با ما در میان گذاشته و اخبار تکنولوژی را با مجله خبری آی تی و دیجیتال دنبال کنید.