Ten noorden van de 1,000 voorbeelden van de Godfather-trojan voor mobiel bankieren circuleren in tientallen landen over de hele wereld, gericht op honderden bank-apps.
Godfather, dat voor het eerst werd ontdekt in 2022, kan schermen en toetsaanslagen opnemen, oproepen en sms-berichten met tweefactorauthenticatie (2FA) onderschept, bankoverschrijvingen initieert en meer. Het is snel uitgegroeid tot een van de meest wijdverspreide malware-as-a-service-aanbiedingen in de wereld. cybercriminaliteit, vooral mobiele cybercriminaliteit. Volgens Zimperium 2023 ‘Rapport over overvallen mobiel bankieren’, Eind vorig jaar richtte Godfather zich op 237 bankapps verspreid over 57 landen. De dochterondernemingen exfiltreerden gestolen financiële informatie naar ten minste negen landen, voornamelijk in Europa en inclusief de VS.
Al dat succes trok de aandachtOm te voorkomen dat beveiligingssoftware het feest verpest, hebben de ontwikkelaars van Godfather automatisch op bijna industriële schaal nieuwe samples voor hun klanten gegenereerd.
Andere ontwikkelaars van mobiele malware in het hele spectrum zijn hetzelfde begonnen te doen. “Wat we zien is dat malwarecampagnes steeds groter beginnen te worden”, waarschuwt Nico Chiaraviglio, hoofdwetenschapper bij Zimperium, die gastheer zal zijn een sessie over deze en andere mobiele malwaretrends bij RSAC in mei.
Naast Godfather en andere bekende families volgt Chiaraviglio een nog grotere, nog onbekende mobiele malwarefamilie met meer dan 100,000 unieke exemplaren in het wild. "Dus dat is gek", zegt hij. “We hebben nog nooit zoveel monsters in één enkele malware gezien. Dit is zeker een trend.”
Banktrojans brengen honderden voorbeelden voort
Mobiele beveiliging loopt al ver achter bij de beveiliging voor desktops. “In de jaren negentig gebruikte niemand echt antivirus op desktopcomputers, en dat is ongeveer waar we nu zijn. Tegenwoordig maakt slechts één op de vier gebruikers daadwerkelijk gebruik van een of andere vorm van mobiele bescherming. Vijfentwintig procent van de apparaten is volledig onbeschermd, vergeleken met desktops, namelijk 90%”, klaagt Chiaraviglio.
Mobiele dreigingen nemen ondertussen snel toe. Eén manier waarop ze dit doen is door zoveel verschillende iteraties te genereren dat antivirusprogramma's (die malware profileren op basis van hun unieke kenmerken) moeite hebben om de ene infectie met de volgende te correleren.
Bedenk dat er op het moment van de eerste ontdekking in 2022, volgens Chiaraviglio, minder dan tien monsters van Godfather in het wild waren. Eind vorig jaar was dat aantal verhonderdvoudigd.
De ontwikkelaars hebben duidelijk automatisch unieke voorbeelden voor klanten gegenereerd om detectie te voorkomen. “Ze zouden gewoon alles kunnen scripten – dat zou een manier zijn om het te automatiseren. Een andere manier zou zijn om gebruik grote taalmodellen, omdat hulp bij het coderen het ontwikkelingsproces echt kan versnellen”, zegt Chiaraviglio.
Andere ontwikkelaars van banktrojans hebben dezelfde aanpak gevolgd, zij het op kleinere schaal. In december verzamelde Zimperium 498 monsters van Godfather's naaste concurrent, Nexus, 300 monsters van Saderat, en 123 daarvan PixPiraten.
Kan beveiligingssoftware dit bijhouden?
Beveiligingsoplossingen die malware op handtekening taggen, zullen problemen ondervinden bij het bijhouden van honderden en duizenden monsters per familie.
“Misschien wordt er veel code hergebruikt tussen verschillende voorbeelden”, zegt Chiaraviglio, iets wat hij suggereert dat adaptieve oplossingen kunnen gebruiken om gerelateerde malware met verschillende handtekeningen te correleren. Als alternatief kunnen verdedigers, in plaats van de code zelf, kunstmatige intelligentie (AI) gebruiken om zich te concentreren op het gedrag van de malware. Met een model dat dat kan doen, zegt Chiaraviglio, “maakt het niet zoveel uit hoeveel je de code verandert of hoe de applicatie eruit ziet, we zullen het nog steeds kunnen detecteren.”
Maar hij geeft toe: “Tegelijkertijd is dit altijd een race. Wij doen iets [om aan te passen], en vervolgens doet de aanvaller iets om naar onze voorspellingen te evolueren. [Bijvoorbeeld] ze kunnen [een groot taalmodel] vragen om hun code zoveel mogelijk te muteren. Dit zou het domein van polymorfe malware zijn, wat niet veel voorkomt op mobiele apparaten, maar we zouden daar misschien wel veel meer van kunnen zien.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/endpoint-security/godfather-banking-trojan-spawns-1k-samples-57-countries
