Godfather Mobile Malware

نسخه جدید و بهبود یافته‌ای از بدافزار بدنام اندروید، Godfather، در دنیای امنیت سایبری غوغا به پا کرده است. این بدافزار مخفی با استقرار محیط‌های مجازی ایزوله در دستگاه‌های آلوده، اکنون جاسوسی بلادرنگ، سرقت اطلاعات و کلاهبرداری مالی را امکان‌پذیر می‌کند، در حالی که همه این‌ها در پوشش برنامه‌های بانکی قانونی پنهان می‌ماند.

دنیای مجازی برای سرقت واقعی

بدافزار ارتقا یافته‌ی Godfather از یک چارچوب مجازی‌سازی که در یک فایل APK به ظاهر بی‌ضرر جاسازی شده است، استفاده می‌کند. پس از نصب، وجود بیش از ۵۰۰ برنامه‌ی هدف بالقوه، از جمله پلتفرم‌های بانکی، ارزهای دیجیتال و تجارت الکترونیک را بررسی کرده و آنها را به یک محیط مجازی منتقل می‌کند. این روش، تاکتیکی را که FjordPhantom در سال ۲۰۲۳ استفاده کرد، تقلید می‌کند، اما از نظر دامنه و پیچیدگی بسیار فراتر می‌رود.

برخلاف بدافزارهای استاندارد اندروید، گادفادر از مجازی‌سازی برای اجرای برنامه‌های هدف درون کانتینرهای کنترل‌شده استفاده می‌کند و موارد زیر را امکان‌پذیر می‌سازد:

• سرقت اعتبارنامه‌ها در لحظه و رهگیری پاسخ‌های backend
• تقلید بصری بی‌نقص از برنامه‌های قانونی
• دور زدن مکانیزم‌های امنیتی داخلی اندروید

تصاحب نامرئی از طریق StubActivity

بخش مهمی از این فریب، استفاده از StubActivity است، یک حفره یا سوراخ در بدافزار که برنامه‌های مجازی را بدون افشای هیچ رابط کاربری یا منطق واقعی خود اجرا می‌کند. هنگامی که قربانی سعی می‌کند به برنامه بانکی قانونی خود دسترسی پیدا کند، Godfather با استفاده از امتیازات سرویس دسترسی خود، این اقدام را رهگیری کرده و آن را به کانتینر مجازی هدایت می‌کند و رابط برنامه واقعی را نشان می‌دهد و در عین حال کنترل کامل تعاملات کاربر را به دست می‌گیرد.

این ترفند، اندروید را فریب می‌دهد تا فکر کند یک برنامه‌ی امن را اجرا می‌کند، در حالی که تمام اقدامات حساس، از تایپ پین گرفته تا تأیید تراکنش‌ها، تحت نظارت و سرقت قرار می‌گیرند.

زیر کاپوت: ابزارها و تکنیک‌ها

برای انجام عملیات پیچیده خود، گادفادر به ترکیبی از فناوری‌های متن‌باز و مهندسی هوشمندانه متکی است:

موتور VirtualApp - ایجاد کانتینرهای ایزوله را ممکن می‌سازد.

چارچوب Xposed - برای ثبت ورودی و پاسخ‌ها به APIهای اندروید متصل می‌شود.

جعل عمدی - دستورات مربوط به برنامه‌های قانونی را می‌رباید و آنها را تغییر مسیر می‌دهد.

سیستم فایل مجازی و شناسه‌های فرآیند - از تکثیر یکپارچه محیط پشتیبانی می‌کند.

در لحظات حساس، این بدافزار با نمایش صفحه‌های قفل جعلی یا به‌روزرسانی صفحات، کاربران را به وارد کردن اطلاعات حساس ترغیب می‌کند و سپس این اطلاعات برای مهاجمان ارسال می‌شود.

نگاهی به گذشته: سیر تکامل پدرخوانده

گادفادر اولین بار در مارس ۲۰۲۱ پدیدار شد و از آن زمان تاکنون به طور قابل توجهی تکامل یافته است. در نسخه دسامبر ۲۰۲۲ خود، این بدافزار با استفاده از حملات HTML overlay، ۴۰۰ برنامه را در ۱۶ کشور هدف قرار می‌داد. با این حال، نسخه فعلی از مجازی‌سازی کامل استفاده می‌کند و دسترسی خود را به بیش از ۵۰۰ برنامه در سراسر جهان گسترش می‌دهد. در حالی که به نظر می‌رسد آخرین کمپین بر روی دوازده بانک ترکیه‌ای متمرکز است، زیرساخت‌ها برای تمرکز جهانی فراهم شده است.

چگونه محافظت شویم

برای کاهش خطر قربانی شدن در برابر تهدیدات پیشرفته‌ای مانند Godfather، کاربران باید از این شیوه‌های برتر امنیت سایبری پیروی کنند:

• با خیال راحت دانلود کنید
• فقط برنامه‌ها را از گوگل پلی یا منابع معتبر نصب کنید.
• از دانلود فایل‌های APK به صورت جانبی خودداری کنید، مگر اینکه ناشر معتبر و تأیید شده باشد.
• هوشیاری برنامه تمرینی
• گوگل پلی پروتکت را فعال نگه دارید.
• مجوزهای برنامه، به ویژه درخواست‌های مربوط به سرویس‌های دسترسی را زیر نظر داشته باشید.
• به صفحه قفل یا پیام‌های به‌روزرسانی غیرمنتظره مشکوک باشید.

آخرین نسخه Godfather نشان دهنده تغییر به سمت تهدیدهای موبایل پیچیده‌تر است که مرز بین فعالیت‌های مخرب و رفتار مشروع برنامه را محو می‌کند. آگاه و محتاط ماندن اولین خط دفاعی است.