Godfather, нова версия на Android зловреден софтуер, използва виртуализация за незабележима кражба на банкови данни от реални приложения. Zimperium разкрива детайли за мащабната заплаха.
Нова и значително по-усъвършенствана версия на Android зловредния софтуер Godfather използва виртуализация, за да създава изолирана среда върху смартфоните и така шпионира в реално време банкови приложения, краде идентификационни данни и манипулира финансови трансакции — без потребителят да заподозре нищо.
Според експерти от Zimperium, които първи анализираха заплахата, тази версия на Godfather вече таргетира над 500 приложения за банкиране, криптовалути и електронна търговия по цял свят. Новата техника позволява на зловредния софтуер да „пуска“ легитимни приложения в контролирана среда, като същевременно ги наблюдава и контролира, използвайки Android функции като StubActivity, виртуална файлова система и фалшиви системни прозорци.
Зловредният софтуер пристига под формата на APK файл, съдържащ вграден двигател за виртуализация (използван от проекти с отворен код като VirtualApp и Xposed). След като се инсталира, Godfather сканира устройството за целеви приложения и ги вкарва във виртуална среда.
Когато потребителят стартира своето банково приложение, всъщност то се отваря вътре във виртуалната рамка, контролирана от атакуващия. Потребителят вижда напълно реалистичен интерфейс, но зловредният код е в състояние да записва всичко — от пароли и ПИН кодове до действия по екрана и отговори от сървъра на банката.
Godfather използва и фалшиви съобщения, като например фалшив екран за „актуализация“ или „проблем с връзката“, докато тайно изпраща събраната информация към команден сървър и изпълнява команди от операторите си: отключване на устройството, стартиране на приложения, осъществяване на трансакции.
Сред установените компоненти са:
Telegram 2 – троянец за постоянен достъп, маскиран като Telegram ъпдейт.
Root Troy V4 – бекдор, който позволява дистанционно изпълнение на команди.
InjectWithDyld – инструмент за инжектиране в паметта на други приложения.
XScreen – кейлогър и шпионски модул за запис на екрана и клипборда.
CryptoBot – крадец на криптовалутни портфейли, таргетиращ над 20 платформи.
Godfather е известен още от 2021 г., но новият му вариант демонстрира качествен скок в сложността и прикритието. Докато предишни версии използваха фалшиви HTML прозорци, днес зловредният код действа директно вътре в легитимното приложение — в реално време и с пълен контрол върху взаимодействието.
Макар настоящата кампания да е фокусирана върху турски банки, експертите предупреждават, че други оператори на Godfather могат да активират различни списъци с цели по региони.
Потребителите на Android трябва да бъдат особено внимателни и да:
Изтеглят приложения само от Google Play или официални източници;
Проверяват исканите разрешения при инсталиране;
Поддържат Google Play Protect включен;
Избягват изтегляне на непознати APK файлове.
С нарастващата употреба на Android устройства в бизнеса, все повече зловреден софтуер ще бъде насочен към мобилната среда. Godfather е поредният сигнал, че киберсигурността при мобилните платформи трябва да бъде приоритет както за индивидуалните потребители, така и за организациите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
