Group-IB выявила активность вируса-трояна, который распространялся под видом приложения в Google Play.
Компания по кибербезопасности Group-IB зафиксировала активность Android-трояна под названием Godfather, что переводится как «Крестный отец». Он атаковал пользователей более 400 банков, криптовалютных бирж и электронных кошельков.
Godfather был нацелен на смартфоны на ОС Android. Он маскировался в Play Market под приложение-криптокалькулятор. После запуска приложение предлагало пользователю проверить безопасность смартфона. И якобы запускалось стандартное приложение Google Protect. После показа анимации длиной в 30 секунд появлялось сообщение, что вредоносных приложений не найдено.
А когда пользователь запускал мобильное или веб-приложение, то все введенные данные, включая логины и пароли, уходили к злоумышленникам. Сколько денег таким образом украли у пользователей, неизвестно.
Троян охватил 16 стран мира. Наибольшую интенсивность атак зафиксировали в США, Турции, Испании, Канаде, Франции и Великобритании. При этом пользователей из России и СНГ Godfather обходит стороной. Если в настройках системы был один из языков этих стран, то троян прекращал свою работу. В Group-IB связывают это с тем, что разработчиками Godfather могут быть русскоязычные злоумышленники.
Впервые активность Godfather заметили в июне 2021 года. В июне 2022 года троян залег на дно. А в сентябре 2022 года вернулся уже с измененным функционалом.