پیوست » فناوری » امنیت » حساب‌های بانکی و کیف پول رمزارزها، هدف جدید بدافزار پدرخوانده

حساب‌های بانکی و کیف پول رمزارزها، هدف جدید بدافزار پدرخوانده

مهدی جعفری مترجم

۷ دی ۱۴۰۱

زمان مطالعه : ۳ دقیقه

تاریخ به‌روزرسانی: ۹ دی ۱۴۰۱

بدافزار اندرویدی گادفادر (Godfather) پس از چند ماه توقف فعالیت، برای انتقام آمده و بیش از ۴۰۰ شرکت امور مالی بین‌المللی را هدف گرفته است. این تروجان برای دسترسی به اطلاعات ورود به حساب مشتریان صفحات جعلی تولید می‌کند و این تازه آغاز ماجراست. گادفادر همچنین با تقلید ابزارهای امنیتی گوگل کنترل کامل دستگاه هدف را به دست می‌گیرد.

گادفادر توسط شرکت بررسی بدافزاری Group I-B شناسایی شده و اولین مورد آن مربوط به ژوئن سال ۲۰۲۱ است. باور می‌رود که منشاء این بدافزار به یک هکر بانکی شناخته‌شده به نام انوبیس (Anubis) می‌رسد. گادفادر تا ماه ژوئن ۲۰۲۲ فعالیت کمی داشت و به یکباره ناپدید شد. به نظر می‌رسد اپراتورهای این بدافزار طی این مدت در حال آماده‌سازی یک نسخه جدید بودند. گادفادر در ماه سپتامبر ۲۰۲۲ مجدداً با هدف انتقام فعال شد و ۴۰۰ شرکت امور مالی را از جمله ۲۱۵ بانک بین‌المللی، ۹۴ کیف‌پول رمزارزی و ۱۱۰ صرافی رمزارزی هدف گرفت.

گادفادر پس از نصب روی دستگاه صفحات ورود به حساب جعلی تولید می‌کند و سپس نام کاربری و رمز عبور را به سرقت می‌برد. دیگر مکانیسم جالب این بدافزار زمانی به کار می‌آید که بسیاری از بانک‌ها و شرکت‌های رمزارزی گام مضاعفی را برای ورود به حساب در نظر می‌گیرند. گادفادر پس از نصب خود را به جای هشدار Google Play Protect جا می‌‌زند. در نتیجه برخی از کاربران به گمان اینکه با هشداری از سیستم امنیتی اندروید روبه‌رو هستند، اجازه دسترسی را به بدافزار می‌دهند. از این لحظه به بعد، گادفادر اتفاقات صحفه را ثبت می‌کند، پیامک‌ها را می‌خواند، هشدار‌های جعلی ارسال می‌کند، تماس می‌گیرد و خیری کارهای دیگر (تقریباً تمام کارهایی که برای دسترسی به حساب بانکی یا کیف‌پول رمزارزی نیاز است).

این بدافزار از طریق اپلیکیشن‌های آلوده‌ای در پلی‌استور منتشر می‌شود. Group I-B مشخص نکرده است که چه کسی از این بدافزار نفع برده یا آن را ساخته است اما می‌گوید قویاً در مورد روسی بودن زبان آنها مشکوک است. این بدافزار مجهز به یک کلید مرگ است که تنظیمات زبان سیستم‌عامل را بررسی می‌کند. اگر در این بررسی متوجه زبانی متعلق به کشور‌های عضو شوروی سابق (به جز اوکراینی) شود، به جای سرقت داده به کار خود پایان می‌دهد. با اینکه این موضوع مدرک موثقی محسوب نمی‌شود اما بسیار مشکوک است.

Group I-B پس از بررسی کانال‌های تلگرامی به این باور رسیده است که گادفادر نمونه‌ای از بدافزار به عنوان خدمت (MaaS) است. سازندگان این بدافزار در واقع مجوز آن را در اختیار شخص ثالثی قرار می‌دهند و در نتیجه خریدار بدون ساخت بدافزار یا زیرساخت مناسب به اطلاعات مالی ارزشمند دسترسی پیدا می‌کند. این بدافزار موسسات مختلفی در سراسر جهان از جمله آمریکا (۴۹ نقطه)، ترکیه (۳۱ نقطه)، اسپانیا (۳۰ نقطه) و کانادا (۲۲ نقطه) را هدف گرفته است. اگر به این بدافزار آلوده شده‌اید، دسترسی تمام اپلیکیشن‌های نصب‌شده (در بخش Settings > Accessibility) را لغو کنید و رمز عبورهای مهم را از طریق دستگاه دیگری تغییر دهید.

منبع: Extremetech

سوالات متداول

بدافزار گادفادر چکار می‌کند؟

گادفادر پس از نصب روی دستگاه صفحات ورود به حساب جعلی تولید می‌کند و سپس نام کاربری و رمز عبور را به سرقت می‌برد. دیگر مکانیزم جالب این بدافزار زمانی به کار می‌آید که بسیاری از بانک‌ها و شرکت‌های رمزارزی گام مضاعفی را برای ورود به حساب در نظر می‌گیرند. گادفادر پس از نصب خود را به جای هشدار Google Play Protect جا می‌‌زند. درنتیجه برخی از کاربران به گمان اینکه با هشداری از سیستم امنیتی اندروید روبرو هستند، اجازه دسترسی را به بدافزار می‌دهند. از این لحظه به بعد، گادفادر اتفاقات صحفه را ثبت می‌کند، پیامک‌ها را می‌خواند، هشدار‌های جعلی ارسال می‌کند، تماس می‌گیرد و خیری کارهای دیگر (تقریبا تمام کارهایی که برای دسترسی به حساب بانکی یا کیف‌پول رمزارزی نیاز است.)

این مطالب را هم بخوانید: