Godfather, нова версия на Android зловреден софтуер, използва виртуализация за незабележима кражба на банкови данни от реални приложения. Zimperium разкрива детайли за мащабната заплаха.

Нова и значително по-усъвършенствана версия на Android зловредния софтуер Godfather използва виртуализация, за да създава изолирана среда върху смартфоните и така шпионира в реално време банкови приложения, краде идентификационни данни и манипулира финансови трансакции — без потребителят да заподозре нищо.

Според експерти от Zimperium, които първи анализираха заплахата, тази версия на Godfather вече таргетира над 500 приложения за банкиране, криптовалути и електронна търговия по цял свят. Новата техника позволява на зловредния софтуер да „пуска“ легитимни приложения в контролирана среда, като същевременно ги наблюдава и контролира, използвайки Android функции като StubActivity, виртуална файлова система и фалшиви системни прозорци.

Как работи атаката?

Зловредният софтуер пристига под формата на APK файл, съдържащ вграден двигател за виртуализация (използван от проекти с отворен код като VirtualApp и Xposed). След като се инсталира, Godfather сканира устройството за целеви приложения и ги вкарва във виртуална среда.

Когато потребителят стартира своето банково приложение, всъщност то се отваря вътре във виртуалната рамка, контролирана от атакуващия. Потребителят вижда напълно реалистичен интерфейс, но зловредният код е в състояние да записва всичко — от пароли и ПИН кодове до действия по екрана и отговори от сървъра на банката.

Възможности за контрол и кражба

Godfather използва и фалшиви съобщения, като например фалшив екран за „актуализация“ или „проблем с връзката“, докато тайно изпраща събраната информация към команден сървър и изпълнява команди от операторите си: отключване на устройството, стартиране на приложения, осъществяване на трансакции.

Сред установените компоненти са:

• Telegram 2 – троянец за постоянен достъп, маскиран като Telegram ъпдейт.

• Root Troy V4 – бекдор, който позволява дистанционно изпълнение на команди.

• InjectWithDyld – инструмент за инжектиране в паметта на други приложения.

• XScreen – кейлогър и шпионски модул за запис на екрана и клипборда.

• CryptoBot – крадец на криптовалутни портфейли, таргетиращ над 20 платформи.

Еволюция на заплахата

Godfather е известен още от 2021 г., но новият му вариант демонстрира качествен скок в сложността и прикритието. Докато предишни версии използваха фалшиви HTML прозорци, днес зловредният код действа директно вътре в легитимното приложение — в реално време и с пълен контрол върху взаимодействието.

Макар настоящата кампания да е фокусирана върху турски банки, експертите предупреждават, че други оператори на Godfather могат да активират различни списъци с цели по региони.

Как да се защитим?

Потребителите на Android трябва да бъдат особено внимателни и да:

• Изтеглят приложения само от Google Play или официални източници;

• Проверяват исканите разрешения при инсталиране;

• Поддържат Google Play Protect включен;

• Избягват изтегляне на непознати APK файлове.

С нарастващата употреба на Android устройства в бизнеса, все повече зловреден софтуер ще бъде насочен към мобилната среда. Godfather е поредният сигнал, че киберсигурността при мобилните платформи трябва да бъде приоритет както за индивидуалните потребители, така и за организациите.