Un grupo de investigadores descubrió un troyano bancario apodado Godfather ("El padrino", en inglés), diseñado para que se puedan robar las credenciales de inicio de sesión de los usuarios en aplicaciones bancarias y otros servicios financieros.

La compañía de ciberseguridad Group-IB anunció que este código malicioso ("malware", en inglés) atacó a más de 400 objetivos, entre los que se encuentran aplicaciones bancarias, billeteras de criptomonedas y servicios de criptomonedas.

Según los investigadores, este troyano sería el sucesor de otro virus bancario llamado Anubis, que se logró desarticular gracias a las actualizaciones de Android y los esfuerzos de los proveedores de detección y prevención de programa maligno.

Godfather es un troyano bancario móvil que roba las credenciales de aplicaciones bancarias y de intercambio de criptomonedas, que fue detectado por primera vez en junio de 2021.

En marzo los investigadores de Threat Fabric lo hicieron público. No obstante, en junio dejó de circular, hasta que reapareció rediseñado y con la funcionalidad WebSocket modificada.

Desde Group-IB dijeron que los desarrolladores de este troyano utilizaron como base el código fuente de Anubis y lo refinaron para adaptarlo a las versiones más nuevas de Android, con nuevas funciones y el retiro de otras obsoletas.

Los troyanos afectan en especial a los clientes bancarios.

Impacto internacional

Si bien el código fuente de Anubis está disponible al público, los investigadores dijeron que no es posible afirmar que ambos fueron creados por el mismo desarrollador u operados por el mismo grupo de amenazas.

La labor de Godfather es la de superponer falsificaciones web en dispositivos infectados que aparecen cuando un usuario interactúa con una notificación de señuelo o bien intenta abrir una de las aplicaciones legítimas infectadas por este troyano.

Además, este software malicioso, que se distribuye a través del "malware-as-a-service" (MaaS) (código o como servicio), puede recolectar cualquier dato de los usuarios, como sus nombres o contraseñas, así como filtrar SMS y enviar notificaciones para eludir la autenticación de dos factores.

Entre otras de las funcionalidades de este programa maligno, que se distribuye a través de aplicaciones de señuelo alojadas en Google Play, se encuentran la de grabar la pantalla del dispositivo de la víctima, establecer conexiones VNC y reenviar llamadas, así como ejecutar solicitudes USSD.

Según los datos recabados por Group-IB, su equipo de Threat Intelligence detectó más de 400 empresas financieras internacionales objetivo de este programa maligno en dispositivos Android entre junio de 2021 y octubre de 2022.

Hasta ahora, 215 bancos internacionales, 94 billeteras de criptomonedas y 110 plataformas de intercambio de estos activos fueron víctimas de Godfather. Además, de todas las afectadas por este troyano, 49 tienen sede en los Estados Unidos, 31 en Turquía y 30 en España.

El troyano genera pingües ganancias a sus creadores.

No obstante, en este listado de países afectados por el sucesor del troyano Anubis también aparecen organizaciones de Canadá, Alemania, Francia, Reino Unido, Italia y Polonia.