Circa 1,000 campioni del Trojan bancario mobile Godfather circolano in dozzine di paesi in tutto il mondo, prendendo di mira centinaia di app bancarie.
Scoperto per la prima volta nel 2022, Godfather, che può registrare schermate e sequenze di tasti, intercettare chiamate e messaggi di autenticazione a due fattori (2FA), avviare bonifici bancari e altro ancora, è rapidamente diventato una delle offerte di malware-as-a-service più diffuse nel mondo. criminalità informatica, in particolare criminalità informatica mobile. Secondo Zimperium "Rapporto sulle rapine bancarie mobili" del 2023 alla fine dello scorso anno, Il Padrino prendeva di mira 237 app bancarie sparse in 57 paesi. Le sue affiliate hanno esfiltrato informazioni finanziarie rubate in almeno nove paesi, principalmente in Europa e compresi gli Stati Uniti.
Tutto quel successo ha attirato l'attenzione, quindi, per evitare che il software di sicurezza rovini la festa, gli sviluppatori di Godfather hanno generato automaticamente nuovi campioni per i loro clienti su scala quasi industriale.
Altri sviluppatori di malware mobile di tutto lo spettro hanno iniziato a fare la stessa cosa. "Quello che stiamo vedendo è che le campagne malware stanno iniziando a diventare sempre più grandi", avverte Nico Chiaraviglio, capo scienziato di Zimperium, che condurrà una sessione su questa e altre tendenze del malware mobile all'RSAC a maggio.
Oltre a Godfather e ad altre famiglie conosciute, Chiaraviglio sta monitorando una famiglia di malware mobile ancora più grande, ancora nascosta, con oltre 100,000 campioni unici in circolazione. "Quindi è pazzesco", dice. “Non abbiamo mai visto un numero così elevato di campioni in un singolo malware. Questa è sicuramente una tendenza”.
I trojan bancari generano centinaia di campioni
La sicurezza mobile è già molto indietro rispetto alla sicurezza dei desktop. “Negli anni '90 nessuno utilizzava realmente gli antivirus sui computer desktop, e questo è il punto in cui ci troviamo adesso. Oggi solo un utente su quattro utilizza effettivamente una sorta di protezione mobile. Il 85% dei dispositivi è completamente non protetto, contro l'XNUMX% dei desktop”, lamenta Chiaraviglio.
Le minacce mobili, nel frattempo, stanno aumentando rapidamente. Un modo in cui lo fanno è generando così tante iterazioni diverse che i programmi antivirus, che profilano il malware in base alle loro firme univoche, hanno difficoltà a correlare un'infezione con quella successiva.
Si consideri che al momento della sua prima scoperta nel 2022, secondo Chiaraviglio, erano presenti in natura meno di 10 esemplari di Padrino. Alla fine dello scorso anno il numero era centuplicato.
I suoi sviluppatori hanno chiaramente generato automaticamente campioni unici per i clienti per aiutarli a evitare il rilevamento. “Potrebbero semplicemente scrivere tutto in uno script: sarebbe un modo per automatizzarlo. Un altro modo sarebbe quello utilizzare modelli linguistici di grandi dimensioni, poiché l’assistenza al codice può davvero accelerare il processo di sviluppo”, afferma Chiaraviglio.
Altri sviluppatori di trojan bancari hanno seguito lo stesso approccio, anche se su scala minore. Nel mese di dicembre, Zimperium ha raccolto 498 campioni dello stretto concorrente del Padrino, Nexus , 300 campioni di Saderat e 123 di PixPirata.
I software di sicurezza riescono a tenere il passo?
Le soluzioni di sicurezza che contrassegnano il malware tramite firma avranno difficoltà a tenere traccia di centinaia e migliaia di campioni per famiglia.
"Forse c'è molto riutilizzo del codice tra diversi campioni", dice Chiaraviglio, qualcosa che suggerisce che le soluzioni adattive possano essere utilizzate per correlare malware correlati con firme diverse. In alternativa, invece del codice stesso, i difensori possono utilizzare l’intelligenza artificiale (AI) per concentrarsi sui comportamenti del malware. Con un modello in grado di farlo, afferma Chiaraviglio, "non importa quanto cambi il codice o l'aspetto dell'applicazione, saremo comunque in grado di rilevarlo".
Ma, ammette, “allo stesso tempo, questa è sempre una gara. Facciamo qualcosa [per adattarci], quindi l'attaccante fa qualcosa per evolversi secondo le nostre previsioni. [Ad esempio], possono chiedere a [un modello linguistico di grandi dimensioni] di modificare il più possibile il loro codice. Questo sarebbe il regno del malware polimorfico, che non è qualcosa che accade molto sui dispositivi mobili, ma potremmo iniziare a vederne di più”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint-security/godfather-banking-trojan-spawns-1k-samples-57-countries
