פיסת תוכנה זדונית בשם "הסנדק" מכוונת למשתמשים של אפליקציות קריפטו ושירותים אחרים, על פי הצהרה של הרגולטור הגרמני BaFin ב- ינואר 9.
BaFin אמר שסנדק משפיע על כ-400 אפליקציות קריפטוגרפיות ובנקאות. התוכנה הזדונית מכוונת באופן ספציפי יותר ל-110 בורסות קריפטו, 94 ארנקי קריפטו ו-215 אפליקציות בנקאות, על פי דוח נפרד מ- קבוצה IB בדצמבר.
סנדק גונב נתוני התחברות ממשתמשים על ידי הצגת חלונות כניסה מזויפים על גבי חלונות אמיתיים, ובכך מרמה את המשתמשים להזין את הנתונים שלהם בצורה מפוקחת.
Godfather פועל רק במכשירי אנדרואיד. הוא מחקה את Google Protect כדי לבסס את עצמו. לאחר מכן, הוא סורק בטעות הורדות של חנות Play לאיתור תוכנות זדוניות ומסתיר את עצמו מרשימת היישומים המותקנים. על ידי חיקוי Google Protect, Godfather יכול גם למנף את AccessibilityService כדי לקבל גישה נוספת למכשיר ולהעביר נתונים לתוקפים.
סנדק מנסה במיוחד לחקות אפליקציות המותקנות במכשיר של משתמש. עם זאת, הוא יכול גם להקליט את המסך, להפעיל מפתחות, להעביר שיחות המכילות קודי 2FA, לשלוח הודעות SMS ולעשות שימוש באסטרטגיות שונות אחרות.
למרות שגרמניה הזהירה היום מפני התקפות הסנדק, ההתקפות אינן מבודדות לאותה מדינה. קבוצת IB אמרה בדו"ח שלה שסנדק כיוון למשתמשים ב-16 מדינות כולל ארה"ב, טורקיה, ספרד, קנדה, צרפת ובריטניה. אגב, מכשירים שמוגדרים להשתמש בשפות מסוימות כולל רוסית לא יכולים להפעיל את התוכנה הזדונית.
קבוצת IB הציעה שסנדק הופץ חלקית דרך אפליקציה זדונית של Google Play. עם זאת, קבוצת מחקר האבטחה אמרה כי יש "חוסר בהירות" כללית לגבי האופן שבו חלק זה של תוכנה זדונית מדביק מכשירים.
תוכנות זדוניות דיוג נפוצות למדי. חתיכת תוכנה זדונית דומה נקראה מאדים סטיילר הופיע בשנת 2022, ואחר התקשר דביבון נראה בשנת 2021.
עם זאת, ניתן לבצע דיוג מבלי להדביק מכשירי משתמש. התקפות כאלה יכולות להתבצע אך ורק על ידי יצירת אימיילים ואתרים מזויפים הדומים לעמיתיהם האמיתיים - תוך הסתמכות על טעות אנוש ולא על מכשירים שנפגעו.
מקור: https://cryptoslate.com/godfather-malware-targets-crypto-banking-apps/