بدافزار اندرویدی گادفادر (Godfather) پس چند ماه غیبت، به سراغ حسابهای بانکی و کیف پول رمزارزها، رفته و و بیش از 400 شرکت امور مالی بینالمللی را هدف دارد.
بدافزار اندرویدی گادفادر توسط شرکت بررسی بدافزاری Group I-B مورد شناسایی قرار گرفت. اولین مورد شناسایی آن به ژوئن سال 2021 بازمیگردد. به نظر این بدافزار با اقدامات یک هکر بانکی شناختهشده به نام انوبیس (Anubis) شروع به فعالیت کرده است.
نحوه کار بدافزار اندرویدی گادفادر به این صورت است؛ این بدافزار پس از نصب روی دستگاه صفحات ورود به حساب جعلی تولید کرده و نام کاربری و رمز عبور را به سرقت میبرد. مکانیسم جالب این بدافزار هنگامی کاربرد بیشتر و قویتری مییابد که بسیاری از بانکها و شرکتهای رمزارزی اقداماتی برای ورود به حساب انجام میدهند.
گادفادر پس از نصب با هشدار Google Play Protect نمایان میشود. در نتیجه برخی از کاربران به تصور اینکه با هشداری از سیستم امنیتی اندروید مواجه بوده، اجازه دسترسی را به بدافزار میدهند. از این لحظه به بعد، دیگر گادفادر به بسیاری از امکانات اعم از ثبت اتفاقات صفحه نمایش، خواندن پیامکها، ارسال هشدارهای جعلی، تماسگیری و خیلی کارهای دیگر دسترسی دارد. تقریباً این مجوز تمامی کارهای مرتبط با دسترسی به حساب بانکی یا کیفپول رمزارزی را شامل میشود.
بیشتر بخوانید: بحران خروج دارایی از بایننس ؛ آیا بزرگترین صرافی بازار رمزارزها به سرنوشت FTX دچار میشود؟
بازگشت قدرتمند بدافزار اندرویدی گادفادر به هدف انتقام
گادفادر تا ماه ژوئن 2022 فعالیت کمی به ثبت رساند و به یکباره ناپدید شد. احتمالاً اپراتورهای این بدافزار طی این مدت مشغول آمادهسازی یک نسخه جدید بودند. زیرا گادفادر در ماه سپتامبر 2022 (شهریور 1401) مجدداً با هدف انتقام فعال شده و 400 شرکت امور مالی از جمله 215 بانک بینالمللی، 94 کیفپول رمزارزی و 110 صرافی رمزارزی را مورد هدف قرار داد.
این بدافزار از طریق اپلیکیشنهای آلودهای در پلیاستور انتشار مییابد. Group I-B مشخص نکرده است که چه کسی از این بدافزار منتفع شده یا سازنده آن کیست. اما با توجه به روسی بودن زبان آنها بسیار به این موضوع مشکوک است.
این بدافزار همچنین یک کلید مرگ دارد که تنظیمات زبان سیستمعامل را مورد بررسی قرار میدهد. اگر در این بررسی متوجه زبانی متعلق به کشورهای عضو شوروی سابق (به جز اوکراینی) شود، دادهای را به سرقت نبرده و به کار خود پایان میدهد. البته این موضوع مدرک موثقی به حساب نمیآید اما بسیار مشکوک به نظر میرسد.
به هر حال Group I-B پس از بررسی کانالهای تلگرامی متوجه شده که گادفادر نمونهای از بدافزار به عنوان خدمت (MaaS) است. سازندگان این بدافزار در واقع مجوز آن را در اختیار شخص ثالثی قرار داده و به دنبال آن خریدار بدون ساخت بدافزار یا زیرساخت مناسب به اطلاعات مالی ارزشمندی دسترسی مییابد.
این بدافزار موسسات مختلفی در سراسر جهان از جمله آمریکا (49 نقطه)، ترکیه (31 نقطه)، اسپانیا (30 نقطه) و کانادا (22 نقطه) مورد هدف قرار داده است. در صورت آلودگی دستگاه شما به این بدافزار، دسترسی تمام اپلیکیشنهای نصبشده (در بخش Settings > Accessibility) را لغو کرده و رمز عبورهای مهم را از طریق دستگاه دیگری تغییر دهید.
بیشتر بخوانید:
- دستگیری بنیانگذار صرافی FTX در باهاما ؛ اتهام بنیانگذار FTX چیست؟
- استخراج رمزارز چیا (Chia) در ویندوز
- نحوه استخراج چین لینک (Chainlink)
نظر شما درباره حملات مجدد بدافزار اندرویدی گادفادر چیست؟ نظرات خود را در بخش کامنتها با ما در میان گذاشته و اخبار تکنولوژی را با تکراتو دنبال کنید.