Godfather Mobile Malware

En nyligt forbedret version af den berygtede Android-malware Godfather skaber bølger i cybersikkerhedsverdenen. Ved at implementere isolerede virtuelle miljøer på inficerede enheder muliggør denne skjulte malware nu spionage i realtid, tyveri af legitimationsoplysninger og økonomisk svindel, alt imens den forbliver skjult under dække af legitime bankapps.

Virtuelle verdener til ægte tyveri

Den opgraderede Godfather-malware bruger et virtualiseringsframework, der er indlejret i en tilsyneladende harmløs APK-fil. Når den er installeret, kontrollerer den for tilstedeværelsen af over 500 potentielle målapps, herunder bank-, kryptovaluta- og e-handelsplatforme, og flytter dem til et virtuelt miljø. Denne opsætning efterligner en taktik, der blev brugt af FjordPhantom i 2023, men går langt ud over det sædvanlige i omfang og sofistikering.

I modsætning til almindelig Android-malware udnytter Godfather virtualisering til at køre målapps i kontrollerede containere, hvilket muliggør:

• Tyveri af legitimationsoplysninger i realtid og aflytning af backend-svar
• Problemfri visuel efterligning af legitime apps
• Omgåelse af Androids indbyggede sikkerhedsmekanismer

Usynlig overtagelse via StubActivity

En kritisk del af dette bedrag er brugen af StubActivity, en pladsholder i malwaren, der starter virtualiserede apps uden at afsløre nogen reel brugergrænseflade eller logik. Når offeret forsøger at få adgang til sin legitime bankapp, opfanger Godfather handlingen ved hjælp af sine tilgængelighedsprivilegier og omdirigerer den til den virtuelle container, hvor den faktiske appgrænseflade vises, samtidig med at brugeren får fuld kontrol over brugerinteraktioner.

Dette trick narrer Android til at tro, at den kører en sikker applikation, mens alle følsomme handlinger, fra at indtaste en pinkode til at bekræfte transaktioner, overvåges og kapres.

Under motorhjelmen: Værktøjer og teknikker

For at udføre sine komplekse operationer er Godfather afhængig af en blanding af open source-teknologier og intelligent ingeniørkunst:

VirtualApp-motor – driver oprettelsen af isolerede containere.

Xposed Framework – kobler sig til Android API'er for at registrere input og svar.

Intent spoofing – hijacks kommandoer beregnet til legitime apps og omdirigerer dem.

Virtuelt filsystem og proces-ID'er – understøtter problemfri miljøreplikering.

På afgørende tidspunkter lægger malwaren sig over falske låseskærme eller opdateringsskærme for at bede brugerne om at indtaste følsomme loginoplysninger, som derefter videregives til angriberne.

Et tilbageblik: Godfathers udvikling

Godfather dukkede først op i marts 2021 og har siden udviklet sig betydeligt. I sin variant fra december 2022 målrettede malwaren 400 apps i 16 lande ved hjælp af HTML-overlay-angreb. Den nuværende version anvender dog fuld virtualisering, hvilket udvider dens rækkevidde til over 500 apps på verdensplan. Mens den seneste kampagne ser ud til at fokusere på et dusin tyrkiske banker, er infrastrukturen på plads til at omstille sig globalt.

Sådan forbliver du beskyttet

For at reducere risikoen for at blive offer for avancerede trusler som Godfather, bør brugerne følge disse bedste praksisser inden for cybersikkerhed:

• Download sikkert
• Installer kun apps fra Google Play eller pålidelige kilder.
• Undgå at sideloade APK'er, medmindre udgiveren er velrenommeret og verificeret.
• Øv app-årvågenhed
• Hold Google Play Protect aktiveret.
• Overvåg apptilladelser, især anmodninger om tilgængelighedstjenester.
• Vær mistænksom over for uventede låseskærme eller opdateringsprompter.

Den seneste version af Godfather signalerer et skift mod mere sofistikerede mobiltrusler, der udvisker grænsen mellem ondsindet aktivitet og legitim app-adfærd. At være informeret og forsigtig er den første forsvarslinje.