มัลแวร์ GodFather มุ่งเป้าหมายเป็นแอปธนาคารและคริปโตมากกว่า 500

มัลแวร์ GodFather ได้ขยายขอบเขตเป้าหมาย โดยตอนนี้เล็งไปที่แอปพลิเคชันด้านธนาคารและสกุลเงินดิจิทัลกว่า 500 แอปพลิเคชันในหลายภูมิภาคทั่วโลก ตามรายงานของ Cyble Research and Intelligence Labs (CRIL) โดยเวอร์ชันล่าสุดนี้ใช้เทคนิคที่ซับซ้อน เช่น การใช้โค้ดเนทีฟ (native code) และการขอสิทธิ์ขั้นต่ำ ทำให้ตรวจจับและรับมือได้ยากยิ่งขึ้น

หนึ่งในเทคนิคที่โดดเด่นของมัลแวร์นี้คือการใช้งานเว็บไซต์ฟิชชิง ตัวอย่างล่าสุดคือเว็บไซต์ MyGov ปลอมที่มีชื่อว่า “mygov-au[.]app” ซึ่งแจกไฟล์ APK อันตรายที่ปลอมเป็นแอปพลิเคชัน MyGov เพื่อขโมยข้อมูลรับรองธนาคาร CRIL ระบุว่า “หลังการวิเคราะห์เพิ่มเติมพบว่าเว็บไซต์นี้แจกจ่ายไฟล์ APK ที่เกี่ยวข้องกับมัลแวร์ GodFather” เมื่อผู้ใช้ติดตั้งแอปปลอมนี้ แอปจะเชื่อมต่อไปยัง URL ภายนอกเพื่อติดตามการติดตั้ง ดึงข้อมูล IP ของอุปกรณ์ และจัดเก็บข้อมูลบนเซิร์ฟเวอร์ของผู้โจมตี

มัลแวร์ยังใช้ประโยชน์จาก Accessibility Service บนอุปกรณ์ Android เพื่อทำงานต่าง ๆ เช่น การรันคำสั่งท่าทางอัตโนมัติ (gestures) การโหลด URL สำหรับฉีดข้อมูล (injection URL) ลงใน WebView และการเชื่อมต่อกับเซิร์ฟเวอร์ Command and Control (C&C) เวอร์ชันนี้ยังเปลี่ยนจากการใช้ Java แบบดั้งเดิมไปเป็นโค้ดเนทีฟ ซึ่ง “เพิ่มความสามารถอันตรายหลายอย่าง เช่น การโหลด URL สำหรับฉีดข้อมูลเข้าสู่ WebView การรันท่าทางอัตโนมัติ การเชื่อมต่อกับเซิร์ฟเวอร์ C&C และการบันทึกการกดแป้นพิมพ์ (keylogging)” การเปลี่ยนไปใช้โค้ดเนทีฟนี้ทำให้มัลแวร์ตรวจจับและวิเคราะห์ได้ยากขึ้นอย่างมาก

เมื่อมัลแวร์ตรวจจับแอปเป้าหมาย เช่น แอปธนาคารหรือคริปโต มันจะปิดแอปจริงแล้วโหลดหน้าเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลรับรอง CRIL ชี้ให้เห็นว่า “เมื่อผู้ใช้พยายามโต้ตอบกับแอปเป้าหมาย มัลแวร์จะปิดแอปจริงและโหลด URL การเข้าสู่ระบบปลอมของธนาคารหรือคริปโตลงใน WebView หรือแสดงหน้าจอเปล่า” ซึ่งจะสกัดการเข้าสู่ระบบของผู้ใช้

นอกจากนี้ GodFather ยังขยายขอบเขตภูมิศาสตร์ จากที่เคยเล็งไปยังผู้ใช้ในสหราชอาณาจักร สหรัฐอเมริกา ตุรกี สเปน และอิตาลี ตอนนี้ได้เพิ่มเป้าหมายไปยังผู้ใช้ในญี่ปุ่น สิงคโปร์ อาเซอร์ไบจาน และกรีซ

มัลแวร์ GodFather แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามบนมือถือ โดยเฉพาะที่เล็งไปยังภาคการเงินและสกุลเงินดิจิทัล CRIL สรุปว่า “ด้วยการกระทำอัตโนมัติใหม่และการขยายเป้าหมายไปยังแอปในหลายประเทศ มัลแวร์นี้เป็นภัยที่เพิ่มขึ้นต่อผู้ใช้ทั่วโลก การตื่นตัวและใช้แนวปฏิบัติด้านความปลอดภัยบนอุปกรณ์มือถืออย่างเคร่งครัดจึงเป็นสิ่งสำคัญในการหลีกเลี่ยงการตกเป็นเหยื่อของภัยคุกคามอย่าง GodFather”

Sources for researching the origins of IOCs (Indicators of Compromise)
cyble.com
group-ib.com
malpedia

ที่มา
https://securityonline.info
https://cyble.com/blog/godfather-malware-targets-500-banking-and-crypto-apps-worldwide/
https://www.group-ib.com/blog/godfather-trojan/

Fomodailys

Fomodailys คือแหล่งข้อมูลข่าวสารที่ครบวงจรสำหรับ Cryptocurrency มุ่งเน้นการนำเสนอเนื้อหาที่น่าเชื่อถือและเข้าใจง่าย เพื่อช่วยให้ทุกคนสามารถก้าวเข้าสู่ยุคใหม่ของการเงินและเทคโนโลยี