Troianul Godfather Banking generează 1.2 mii de mostre în 57 de țări

La nord de 1,000 de mostre ale troianului bancar mobil Godfather circulă în zeci de țări din întreaga lume, vizând sute de aplicații bancare.

Descoperit pentru prima dată în 2022, Godfather – care poate înregistra ecrane și apăsări de taste, interceptează apelurile și mesajele de autentificare în doi factori (2FA), inițiază transferuri bancare și multe altele – a devenit rapid una dintre cele mai răspândite oferte de malware ca serviciu din criminalitatea cibernetică, în special criminalitatea cibernetică mobilă. Potrivit lui Zimperium 2023 „Raportul de furturi de servicii bancare mobile” La sfârșitul anului trecut, Godfather viza 237 de aplicații bancare răspândite în 57 de țări. Afiliații săi au exfiltrat informații financiare furate în cel puțin nouă țări, în principal în Europa și inclusiv în SUA.

Tot acel succes a atras atenția, așa că, pentru a preveni ca software-ul de securitate să strice petrecerea, dezvoltatorii lui Godfather au generat automat noi mostre pentru clienții lor la o scară aproape industrială.

Alți dezvoltatori de programe malware mobile din spectru au început să facă același lucru. „Ceea ce vedem este că campaniile de malware încep să devină din ce în ce mai mari”, avertizează Nico Chiaraviglio, om de știință șef la Zimperium, care va găzdui o sesiune despre aceasta și alte tendințe de malware mobil la RSAC în mai.

Pe lângă Nașul și alte familii cunoscute, Chiaraviglio urmărește o familie de programe malware mobile și mai mare, încă sub acoperire, cu peste 100,000 de mostre unice în sălbăticie. „Deci e o nebunie”, spune el. „Nu am văzut până acum atât de multe mostre într-un singur malware, niciodată. Aceasta este cu siguranță o tendință.”

Troienii bancare generează sute de mostre

Securitatea mobilă rămâne deja cu mult în urma securității pentru desktop-uri. „În anii '90, nimeni nu folosea cu adevărat antivirus pe computerele desktop și cam aici ne aflăm acum. Astăzi, doar unul dintre cei patru utilizatori utilizează cu adevărat un fel de protecție mobilă. Douăzeci și cinci la sută dintre dispozitive sunt complet neprotejate, în comparație cu desktop-ul, la 85%”, deplânge Chiaraviglio.

Între timp, amenințările mobile cresc la nivel rapid. O modalitate prin care fac acest lucru este prin a genera atât de multe iterații diferite încât programele antivirus - care profilează malware-ul după semnăturile lor unice - au probleme în a corela o infecție cu următoarea.

Luați în considerare că la momentul descoperirii sale inițiale în 2022, potrivit Chiaraviglio, existau mai puțin de 10 mostre de Naș în sălbăticie. Până la sfârșitul anului trecut, numărul a crescut de o sută de ori.

În mod clar, dezvoltatorii săi au generat automat mostre unice pentru clienți pentru a-i ajuta să evite detectarea. „Ar putea să scrie totul – aceasta ar fi o modalitate de automatizare. O altă modalitate ar fi să utilizați modele de limbaj mari, deoarece asistența pentru cod poate accelera cu adevărat procesul de dezvoltare”, spune Chiaraviglio.

Alți dezvoltatori troieni bancar au urmat aceeași abordare, chiar dacă la o scară mai mică. În decembrie, Zimperium a numărat 498 de mostre ale concurentului apropiat al Nașului, Nexus , 300 de mostre de Saderat, iar 123 de PixPirate.

Poate software-ul de securitate să țină pasul?

Soluțiile de securitate care etichetează programele malware prin semnătură vor avea dificultăți în ținerea evidenței a sute și mii de mostre per familie.

„Poate că există o mulțime de reutilizare a codului între diferitele mostre”, spune Chiaraviglio, ceea ce sugerează că soluțiile adaptive pot folosi pentru a corela programele malware asociate cu semnături diferite. Alternativ, în loc de codul în sine, apărătorii pot folosi inteligența artificială (AI) pentru a se concentra asupra comportamentelor malware-ului. Cu un model care poate face asta, spune Chiaraviglio, „nu contează cu adevărat cât de mult schimbați codul sau felul în care arată aplicația, vom fi în continuare capabili să o detectăm”.

Dar, recunoaște el, „în același timp, aceasta este întotdeauna o cursă. Facem ceva [pentru a ne ajusta], apoi atacatorul face ceva pentru a evolua la predicțiile noastre. [De exemplu], ei pot cere [un model de limbaj mare] să-și modifice codul cât de mult poate. Acesta ar fi tărâmul malware-ului polimorf, care nu este ceva care se întâmplă foarte mult pe mobil, dar am putea începe să vedem mult mai mult din asta.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/endpoint-security/godfather-banking-trojan-spawns-1k-samples-57-countries