Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Godfather Mobile Malware

Godfather Mobile Malware

El Mezo el Programari maliciós mòbil
Traduir a:

Una versió recentment millorada del famós programari maliciós per a Android, Godfather, està causant sensació en el món de la ciberseguretat. En implementar entorns virtuals aïllats en dispositius infectats, aquest programari maliciós furtiu ara permet l'espionatge en temps real, el robatori de credencials i el frau financer, tot això mentre roman amagat sota l'aparença d'aplicacions bancàries legítimes.

Mons virtuals per a robatoris reals

El programari maliciós Godfather actualitzat utilitza un marc de virtualització integrat dins d'un fitxer APK aparentment inocu. Un cop instal·lat, comprova la presència de més de 500 aplicacions potencials, incloent-hi plataformes bancàries, de criptomoneda i de comerç electrònic, i les trasllada a un entorn virtual. Aquesta configuració imita una tàctica utilitzada per FjordPhantom el 2023, però va molt més enllà en abast i sofisticació.

A diferència del programari maliciós estàndard d'Android, Godfather aprofita la virtualització per executar aplicacions de destinació dins de contenidors controlats, cosa que permet:

  • Robatori de credencials en temps real i intercepció de respostes del backend
  • Imitació visual perfecta d'aplicacions legítimes
  • Evasió dels mecanismes de seguretat integrats d'Android

Presa de control invisible a través de StubActivity

Una part crítica d'aquest engany és l'ús de StubActivity, un marcador de posició dins del programari maliciós que inicia aplicacions virtualitzades sense exposar cap interfície d'usuari o lògica real pròpia. Quan la víctima intenta accedir a la seva aplicació bancària legítima, Godfather intercepta l'acció utilitzant els seus privilegis de servei d'accessibilitat i la redirigeix al contenidor virtual, mostrant la interfície real de l'aplicació alhora que obté el control total de les interaccions de l'usuari.

Aquest truc enganya Android fent-li creure que està executant una aplicació segura mentre que totes les accions sensibles, des d'escriure un PIN fins a confirmar transaccions, són monitoritzades i segrestades.

Sota el capó: eines i tècniques

Per dur a terme les seves complexes operacions, Godfather es basa en una combinació de tecnologies de codi obert i enginyeria intel·ligent:

Motor VirtualApp : impulsa la creació de contenidors aïllats.

Xposed Framework : es connecta a les API d'Android per enregistrar entrades i respostes.

Suplantació d'intencions : segresta ordres destinades a aplicacions legítimes i les redirigeix.

Sistema de fitxers virtual i ID de processos : admet la replicació d'entorns sense fissures.

En moments clau, el programari maliciós superposa pantalles de bloqueig o actualitzacions falses per demanar als usuaris que introdueixin credencials sensibles, que després s'exfiltren als atacants.

Una mirada enrere: l’evolució del Padrí

El Padrí va aparèixer per primera vegada el març del 2021 i des de llavors ha evolucionat significativament. En la seva variant del desembre del 2022, el programari maliciós tenia com a objectiu 400 aplicacions a 16 països mitjançant atacs de superposició HTML. La versió actual, però, utilitza la virtualització completa, estenent el seu abast a més de 500 aplicacions a tot el món. Tot i que la darrera campanya sembla centrar-se en una dotzena de bancs turcs, la infraestructura està preparada per pivotar globalment.

Com mantenir-se protegit

Per reduir el risc de ser víctimes d'amenaces avançades com el Padrí, els usuaris han de seguir aquestes pràctiques recomanades de ciberseguretat:

  • Descarrega de manera segura
  • Només instal·la aplicacions de Google Play o de fonts de confiança.
  • Evita la càrrega lateral d'APK tret que l'editor sigui de confiança i estigui verificat.
  • Practica la vigilància de les aplicacions
  • Mantingueu Google Play Protect activat.
  • Supervisa els permisos de les aplicacions, especialment les sol·licituds de serveis d'accessibilitat.
  • Desconfieu de les pantalles de bloqueig o dels avisos d'actualització inesperats.

La darrera versió del Padrí assenyala un canvi cap a amenaces mòbils més sofisticades que desdibuixen la línia entre l'activitat maliciosa i el comportament legítim de les aplicacions. Mantenir-se informat i prudent és la primera línia de defensa.

Tendència

Més vist

Carregant...