Godfather ban đầu được phát hiện vào tháng 6/2021 và được cho là kế thừa của trojan ngân hàng Anubis, có khả năng được xây dựng dựa trên mã nguồn Anubis bị rò rỉ vào năm 2019.
Godfather có tính năng thực thi và giao tiếp hệ thống chỉ huy và kiểm soát (C&C) đã cập nhật, thay đổi thuật toán mã hóa lưu lượng, mô-đun mới để quản lý các kết nối máy ảo (VNC) và cập nhật tính năng như OTP của Google Authenticator.
Trên các thiết bị lây nhiễm, trojan sử dụng các lớp phủ web (các trang HTML giả có sức thuyết phục được hiển thị trên đầu các ứng dụng hợp pháp) để đánh cắp thông tin đăng nhập, bỏ qua xác thực hai yếu tố (2FA) và giành quyền truy cập vào tài khoản của nạn nhân.
Phần mềm độc hại cũng có thể ghi lại màn hình của thiết bị, tạo các kết nối VNC, khởi chạy keylogger, lọc thông báo và các tin nhắn SMS (để bỏ qua 2FA), gửi tin nhắn SMS, chuyển tiếp cuộc gọi, thực hiện các yêu cầu USSD (Unstructured Supplementary Service Data - Dữ liệu dịch vụ bổ sung không có cấu trúc), khởi chạy máy chủ proxy, bật chế độ im lặng và thiết lập kết nối WebSocket.
Godfather được phân phối qua các ứng dụng tải xuống độc hại được lưu trữ trên Google Play và có thể bắt chước Google Protect, nhưng thực tế lại không cung cấp chức năng quét. Group-IB cho biết mối đe dọa này cũng có thể được phát tán bằng cách sử dụng mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS).
Sau khi lây nhiễm, trojan sẽ tồn tại trên thiết bị, tạo và gim thông báo đồng thời ẩn biểu tượng của nó. Nó cũng yêu cầu quyền truy cập vào dịch vụ “hỗ trợ” sau đó tự cấp các quyền cần thiết để hoạt động mà không bị cản trở trên thiết bị.
Mối đe dọa thu thập thông tin thiết bị và gửi đến máy chủ C&C của nó, bao gồm tên nhà mạng và mã quốc gia, trạng thái điện thoại, tác nhân người dùng thiết bị mặc định, ID bot, ứng dụng đã cài đặt, phiên bản Android, kiểu thiết bị và chi tiết về việc các quyền cần thiết đã được cấp chưa .
Group-IB cho biết, kể từ tháng 10/2022, Godfather đã nhắm mục tiêu người dùng của 215 ngân hàng, 94 ví tiền điện tử và 110 sàn giao dịch tiền điện tử. Hầu hết các ngân hàng bị nhắm mục tiêu là ở Hoa Kỳ (49), Thổ Nhĩ Kỳ (31) và Tây Ban Nha (30). Ngoài ra, phần mềm độc hại còn nhắm mục tiêu vào các ứng dụng ngân hàng ở Canada (22), Pháp (20), Đức (19) và Vương quốc Anh (17)./.
