Il trojan svuota conti bancari attivo anche in Italia
Il banking trojan che colpisce il sistema operativo Android coinvolge più di 400 app bancarie e crypto-wallet
27/12/2022 di Redazione
Si chiama Godfather ed è un trojan che raccoglie le credenziali dei conti correnti e gli accessi ai principali servizi di crypto exchange. Tra le altre, sono state prese di mira dodici applicazioni italiane e altrettante banche del nostro paese. Per capire la pericolosità del trojan Godfather e – soprattutto – quando prestare attenzione e come difendersi, cerchiamo di riassumere i risultati delle ricerche dell’agenzia per la cybersicurezza Group-IB, che lo ha analizzato.
Attivo su Android, può arrivare a rubare i fondi dai conti bancari e dai wallet di criptovalute. In termini numerici, si contano dodici aziende colpite che hanno sede in Italia, quarantanove con sede negli Stati Uniti e altri provider sparsi per il mondo in paesi quali Francia, Regno Unito e Canada. Il trojan risulta attivo dal 2021 e l’ultimo aggiornamento fatto è datato settembre 2022. I ricercatori hanno individuato nel codice sorgente di Anubis – trojan noto nell’ambito finanziario ormai limitato su Android – la fonte per lo sviluppo di Godfather. La ricerca rende noto come, nonostante il malware sia già stato individuato in alcune app pubblicate su Google Play Store, esso non è ancora stato distribuito tramite i principali canali e – di conseguenza – del metodo di infezione iniziale si sa ben poco.
LEGGI ANCHE >>> Un membro di un forum di data breach ha chiesto a Musk di acquistare i dati di 400 milioni di utenti di Twitter rubati
Come funziona il trojan Godfather e come proteggersi?
Si tratta di un virus che riesce a replicare in maniera fedele le pagine di accesso andando a sovrapporle sullo schermo dei dispositivi infetti. L’utente che ne cade vittima andrà ad effettuare il login convinto di farlo sull’app legittima e ritrovandosi a fornire le sue credenziali. Così facendo, i malintenzionati aggirano anche una eventuale autenticazione a due fattori.
Un dato interessante individuato dai ricercatori è che nel trojan è presente un codice sorgente che impedisce al tool di infettare i sistemi di utenti che parlano russo o altre lingue dell’ex Unione Sovietica. Come proteggersi? La raccomandazione dei ricercatori che hanno studiato la situazione è che coloro che sono attivi su smartphone Android e altri dispositivi che sfruttano questo sistema lo aggiornino sempre con gli ultimi update relativi alla sicurezza e si assicurino di scaricare applicazioni solo da Play Store.
Anche in questo caso, è fondamentale fare attenzione all’attendibilità dello sviluppatore e alle autorizzazioni che l’applicazione in download chiede. Un ultimo, fondamentale accorgimento è quello di tenere sempre aggiornato un sistema antivirus adeguato.