Аналитики Group-IB зафиксировали активность трояна в приложениях на Android. Предположительно, разработчиками трояна являются русскоязычные злоумышленники, так как он обходит стороной пользователей из России и СНГ.

Наибольшая интенсивность атак трояна Godfather фиксируется в США, Турции, Испании, Канаде, Франции и Великобритании, при этом он обходит стороной пользователей из России и СНГ, если в их настройках системы есть один из языков этих стран.

В основе Godfather, похищающего учетные данные клиентов банков и криптобирж, лежит одна из версий хорошо известного банковского трояна Anubis, возможности которого во многом были обезврежены обновленным Android.

Обычно загрузчик Godfather располагался в официальном магазине Google Play под видом криптокалькулятора. После запуска приложение предлагало пользователю проверить безопасность смартфона, якобы запуская на 30 секунд стандартное приложение Google Protect. За это время троян устанавливал себя в автозапуск. И как только пользователь запускал приложение банка, криптобиржи или электронного кошелька, Godfather «подсовывал» ему фейковые html-страницы, внесенные на которые данные, в том числе логины и пароли, отправлялись злоумышленникам.

Для противодействия новому трояну эксперты Group-IB рекомендуют в том числе проверять наличие обновлений на мобильном устройстве, так как более новые версии Android менее уязвимы к подобным атакам, не загружать приложения со сторонних источников, кроме Google Play, и всегда проверять, какие права приложение требует для своей работы (в случае с Godfather все его коммуникации с сервером выполняются только после выдачи доступа к AccessibilityService).