Spośród 1,000 próbek trojana bankowości mobilnej Godfather krąży w kilkudziesięciu krajach na całym świecie, atakując setki aplikacji bankowych.
Odkryty po raz pierwszy w 2022 r. program Godfather — który może rejestrować ekrany i naciśnięcia klawiszy, przechwytywać połączenia i SMS-y z uwierzytelnianiem dwuskładnikowym (2FA), inicjować przelewy bankowe i nie tylko — szybko stał się jedną z najbardziej rozpowszechnionych ofert złośliwego oprogramowania jako usługi na świecie. cyberprzestępczość, w szczególności cyberprzestępczość mobilna. Według Zimperiuma „Raport napadów na bankowość mobilną” z 2023 r. pod koniec ubiegłego roku celem Ojca Chrzestnego było 237 aplikacji bankowych w 57 krajach. Jej podmioty stowarzyszone eksfiltrowały skradzione informacje finansowe do co najmniej dziewięciu krajów, głównie w Europie, w tym w USA.
Cały ten sukces zwrócił uwagę, aby więc oprogramowanie zabezpieczające nie zepsuło imprezy, programiści Godfather automatycznie generują nowe próbki dla swoich klientów na skalę zbliżoną do przemysłowej.
Inni twórcy mobilnego szkodliwego oprogramowania zaczęli robić to samo. „Obserwujemy, że kampanie szkodliwego oprogramowania stają się coraz większe” – ostrzega Nico Chiaraviglio, główny naukowiec w Zimperium, który będzie gospodarzem sesja poświęcona temu i innym trendom w zakresie mobilnego szkodliwego oprogramowania w maju w RSAC.
Oprócz Ojca Chrzestnego i innych znanych rodzin, Chiaraviglio śledzi jeszcze większą, wciąż utajnioną rodzinę mobilnego szkodliwego oprogramowania, obejmującą ponad 100,000 XNUMX unikalnych próbek na wolności. „A więc to szaleństwo” – mówi. „Nigdy wcześniej nie widzieliśmy takiej liczby próbek w jednym złośliwym oprogramowaniu. To zdecydowanie trend.”
Trojany bankowe generują setki próbek
Bezpieczeństwo urządzeń mobilnych już teraz pozostaje daleko w tyle za zabezpieczeniami komputerów stacjonarnych. „W latach 90. nikt tak naprawdę nie używał programów antywirusowych na komputerach stacjonarnych i w pewnym sensie jesteśmy teraz. Obecnie tylko jeden na czterech użytkowników rzeczywiście korzysta z jakiejś formy ochrony urządzeń mobilnych. Dwadzieścia pięć procent urządzeń jest całkowicie niechronionych, w porównaniu z komputerami stacjonarnymi – 85%” – ubolewa Chiaraviglio.
Tymczasem zagrożenia mobilne szybko rosną. Jednym ze sposobów osiągnięcia tego jest generowanie tak wielu różnych iteracji, że programy antywirusowe — które profilują złośliwe oprogramowanie na podstawie ich unikalnych sygnatur — mają problemy z powiązaniem jednej infekcji z następną.
Należy wziąć pod uwagę, że według Chiaraviglio w momencie pierwszego odkrycia w 2022 r. na wolności żyło mniej niż 10 próbek Ojca Chrzestnego. Do końca ubiegłego roku liczba ta wzrosła stukrotnie.
Jego twórcy najwyraźniej automatycznie generowali unikalne próbki dla klientów, aby pomóc im uniknąć wykrycia. „Mogliby po prostu pisać scenariusze do wszystkiego – to byłby sposób na automatyzację. Innym sposobem byłoby używaj dużych modeli językowych, ponieważ pomoc w kodzie może naprawdę przyspieszyć proces tworzenia oprogramowania” – mówi Chiaraviglio.
Inni twórcy trojanów bankowych zastosowali to samo podejście, choć na mniejszą skalę. W grudniu Zimperium zebrało 498 próbek bliskiego konkurenta Ojca Chrzestnego, Nexus, 300 próbek Saderatu i 123 PixPirat.
Czy oprogramowanie zabezpieczające może nadążyć?
Rozwiązania zabezpieczające, które oznaczają złośliwe oprogramowanie według sygnatury, będą miały trudności ze śledzeniem setek i tysięcy próbek na rodzinę.
„Być może w różnych próbkach często zdarza się, że kod jest ponownie wykorzystywany” – mówi Chiaraviglio i sugeruje, że rozwiązania adaptacyjne mogą służyć do korelowania powiązanego złośliwego oprogramowania z różnymi sygnaturami. Alternatywnie, zamiast samego kodu, obrońcy mogą wykorzystać sztuczną inteligencję (AI), aby skupić się na zachowaniach szkodliwego oprogramowania. Chiaraviglio mówi, że mając model, który to potrafi, „nie ma znaczenia, jak bardzo zmienisz kod lub jak wygląda aplikacja, nadal będziemy w stanie to wykryć”.
Ale, przyznaje, „jednocześnie jest to zawsze wyścig. Robimy coś [dostosowując się], następnie atakujący robi coś, aby ewoluować zgodnie z naszymi przewidywaniami. [Na przykład] mogą poprosić [duży model językowy] o jak największą mutację w kodzie. Byłaby to dziedzina polimorficznego złośliwego oprogramowania, co nie zdarza się zbyt często na urządzeniach mobilnych, ale możemy zacząć widzieć go znacznie więcej”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/endpoint-security/godfather-banking-trojan-spawns-1k-samples-57-countries
