Android-троян Godfather атаковал более 400 банковских и криптовалютных приложений в 16 странах. По сведениям занимающейся кибербезопасностью компании Group-IB, Godfather был активен между июнем 2021 года и октябрём 2022. Тогда половина его целей была банковскими приложениями, а остальные представляли собой криптовалютные кошельки и биржи. 49 целей были американскими компаниями, 31 турецкими и 30 испанскими. Были жертвы из Канады, Франции, Германии, Великобритании, Италии и Польши.

Когда пользователь Android-устройства открывает фальшивое уведомление или пытается открыть реальное приложение, ставшее жертвой трояна, на экране появляется фальшивое окно. Пользователь вводит туда логин и пароль на вход в приложение и они отправляются злоумышленникам. Godfather умеет обходить двухфакторную авторизацию, что многократно повышает его опасность.

Group-IB сообщает, что троян распространяется через «ложные приложения» из Google Play. По состоянию на октябрь жертвами стали 215 международных банков, 94 криптовалют и 110 бирж криптовалют в США, Турции, Испании, Канаде, Германии, Франции и Великобритании.

При этом Godfather не заражает устройства из России, Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, Узбекистана и Таджикистана. Троян записывает экран жертвы, отправляет поддельные текстовые сообщения с зараженного устройства и т.д.

Одно из приложений из магазина Google Play, связанное с Godfather, называется Currency Converter Plus. При открытии вредоносной программы появляется поддельная версия Google Protect с анимацией. Выглядит так, словно приложение сканируется механизмом защиты Google, но в реальности этого не происходит. Пользователь думает, что приложение отсканировано и вредоносное ПО не обнаружено, после чего вводить логин и пароль банковского приложения. Иконка приложения не показывается в списке установленных программ.

Group-IB рекомендует всегда обновлять систему Android до последней версии, чтобы уменьшить риск. Жаль только, что на сотни миллионов смартфонов никогда не придёт ни последняя версия, ни даже Android 11. Также Group-IB рекомендует не устанавливать приложений из сторонних магазинов. Следует смотреть на запрашиваемые программами разрешения. Например, приложения-клавиатуры явно должны справляться со свей работой без доступа к камерам, пишет Phonearena.