Нова, більш прихована версія шкідливого програмного забезпечення GodFather націлена на 500 банківських і криптовалютних додатків, використовуючи власний код і підроблені URL-адреси для входу в систему.
Серед змін – відмова від традиційних оверлейних атак та використання підроблених URL-адрес для входу в систему, які завантажуються через фішингові сторінки. Цей варіант шкідливого програмного забезпечення розширив свою зону атаки, включивши Японію, Сінгапур, Грецію та Азербайджан, на додаток до вже відомих країн-мішеней, таких як США, Туреччина та Італія. Шкідливе програмне забезпечення використовує сервіси доступності для автоматизації дій на заражених пристроях та імітації дій користувача для викрадення даних.
Як і подібні шкідливі програми, GodFather становить серйозну загрозу для безпеки мобільних додатків, особливо фінансових. Шкідливе програмне забезпечення часто використовує підроблені сторінки входу та підроблені додатки, щоб обманом змусити користувачів вводити конфіденційні дані. Компанії Cyble вдалося ідентифікувати GodFather на фішинговому сайті, який видавав себе за офіційний сайт австралійського уряду MyGov, що є ще одним прикладом вдосконаленої тактики зловмисників. Дослідники рекомендують завантажувати додатки лише з офіційних магазинів, регулярно оновлювати ПЗ, використовувати антивірус та багатофакторну автентифікацію.
Новий варіант шкідливого програмного забезпечення GodFather підкреслює зростаючу загрозу для користувачів мобільних додатків, особливо у фінансовому секторі. Розширення географії атак і використання нових способів дій роблять його більш небезпечним, а користувачів – більш пильними.