Godfather está diseñado para permitir que los actores de amenazas obtengan credenciales de inicio de sesión para aplicaciones bancarias y otros servicios financieros, y vacíen las cuentas. Dicen también desde Group-ib que “hasta la fecha, sus víctimas incluyen usuarios de más de 400 objetivos internacionales, incluidas aplicaciones bancarias, billeteras de criptomonedas e intercambios de criptomonedas”, la mayoría de las cuales están localizadas en Estados Unidos, Turwuía, España, Canadá, Alemania, Francia y Reino Unido. El hecho de que ninguna se localiza en países soviétivos, lleva a la firma de seguridad a asegurar que los que están detrás de los ataques con Godfather podrían ser rusos.
El malware, oculto en aplicaciones que parecen legítimas en Google Play, se basa en una antigua pieza de malware troyano bancario conocido como Anubis, que se ha modernizado para incluir un protocolo de comunicación C&C diferente, un algoritmo de cifrado de tráfico y otras funciones.
Detectado por primera vez por Group-IB en junio de 2021, GodFather también incluye funciones nativas de puerta trasera que le permiten abusar de las API de accesibilidad de Android para grabar videos, registrar pulsaciones de teclas, capturar capturas de pantalla y recolectar SMS y registros de llamadas.
Una vez que se instala con éxito en el dispositivo de la víctima, Godfather inicia una serie de comportamientos típicos de los troyanos bancarios, incluido el robo de credenciales bancarias y de intercambio de cifrado. Según los investigadores, el malware también roba datos confidenciales como SMS, y detalles básicos del dispositivo, incluidos datos de aplicaciones instaladas y el propio número de teléfono del dispositivo.
