Godfather Mobile Malware
Novo poboljšana verzija zloglasnog Android zlonamjernog softvera Godfather stvara valove u svijetu kibernetičke sigurnosti. Implementacijom izoliranih virtualnih okruženja na zaraženim uređajima, ovaj prikriveni zlonamjerni softver sada omogućuje špijuniranje u stvarnom vremenu, krađu vjerodajnica i financijske prijevare, a sve to skriveno pod krinkom legitimnih bankarskih aplikacija.
Sadržaj
Virtualni svjetovi za stvarnu krađu
Nadograđeni zlonamjerni softver Godfather koristi virtualizacijski okvir ugrađen u naizgled bezopasnu APK datoteku. Nakon instalacije, provjerava prisutnost preko 500 potencijalnih ciljnih aplikacija, uključujući bankarske, kriptovalutne i e-trgovačke platforme, te ih premješta u virtualno okruženje. Ova postavka oponaša taktiku koju je FjordPhantom koristio 2023. godine, ali ide daleko izvan okvira i sofisticiranosti.
Za razliku od standardnog Android zlonamjernog softvera, Godfather koristi virtualizaciju za pokretanje ciljnih aplikacija unutar kontroliranih kontejnera, omogućujući:
- Krađa vjerodajnica u stvarnom vremenu i presretanje odgovora pozadine
- Besprijekorna vizualna imitacija legitimnih aplikacija
- Izbjegavanje ugrađenih sigurnosnih mehanizama Androida
Nevidljivo preuzimanje putem StubActivityja
Ključni dio ove obmane je korištenje StubActivityja, rezerviranog mjesta unutar zlonamjernog softvera koje pokreće virtualizirane aplikacije bez otkrivanja ikakvog stvarnog korisničkog sučelja ili vlastite logike. Kada žrtva pokuša pristupiti svojoj legitimnoj bankarskoj aplikaciji, Godfather presreće radnju koristeći svoje privilegije usluge pristupačnosti i preusmjerava je u virtualni spremnik, prikazujući stvarno sučelje aplikacije dok istovremeno dobiva potpunu kontrolu nad interakcijama korisnika.
Ovaj trik zavarava Android da misli da pokreće sigurnu aplikaciju dok se sve osjetljive radnje, od upisivanja PIN-a do potvrđivanja transakcija, prate i preuzmu.
Ispod haube: Alati i tehnike
Kako bi ostvario svoje složene operacije, Godfather se oslanja na kombinaciju tehnologija otvorenog koda i pametnog inženjerstva:
VirtualApp engine – omogućuje stvaranje izoliranih kontejnera.
Xposed Framework – povezuje se s Android API-jima za snimanje unosa i odgovora.
Namjerno lažiranje – otima naredbe namijenjene legitimnim aplikacijama i preusmjerava ih.
Virtualni datotečni sustav i ID-ovi procesa – podržavaju besprijekornu replikaciju okruženja.
U ključnim trenucima, zlonamjerni softver prekriva lažne zaključane zaslone ili zaslone ažuriranja kako bi potaknuo korisnike da unesu osjetljive podatke, koji se zatim otkrivaju napadačima.
Pogled unatrag: Kumova evolucija
Kum se prvi put pojavio u ožujku 2021. i od tada se značajno razvio. U svojoj varijanti iz prosinca 2022., zlonamjerni softver ciljao je 400 aplikacija u 16 zemalja koristeći napade preko HTML-a. Međutim, trenutna verzija koristi potpunu virtualizaciju, proširujući svoj doseg na preko 500 aplikacija diljem svijeta. Iako se čini da se najnovija kampanja fokusira na dvanaest turskih banaka, infrastruktura je postavljena za globalno okretanje.
Kako ostati zaštićen
Kako bi smanjili rizik od naprednih prijetnji poput Godfathera, korisnici bi trebali slijediti ove najbolje prakse kibernetičke sigurnosti:
- Sigurno preuzimanje
- Instalirajte aplikacije samo s Google Playa ili pouzdanih izvora.
- Izbjegavajte učitavanje APK-ova s drugih izvora osim ako izdavač nije ugledan i provjeren.
- Prakticirajte budnost aplikacija
- Ostavite Google Play Protect omogućenim.
- Pratite dopuštenja aplikacija, posebno zahtjeve za usluge pristupačnosti.
- Budite sumnjičavi prema neočekivanim zaključanim zaslonima ili upitima za ažuriranje.
Najnovija verzija programa Godfather signalizira pomak prema sofisticiranijim mobilnim prijetnjama koje brišu granicu između zlonamjernih aktivnosti i legitimnog ponašanja aplikacija. Informiranost i oprez su prva linija obrane.
