Malware mobile Godfather
Una versione potenziata del famigerato malware Android Godfather sta facendo scalpore nel mondo della sicurezza informatica. Implementando ambienti virtuali isolati su dispositivi infetti, questo malware stealth consente ora spionaggio in tempo reale, furto di credenziali e frodi finanziarie, il tutto nascondendosi dietro app bancarie legittime.
Sommario
Mondi virtuali per furti reali
Il malware Godfather aggiornato utilizza un framework di virtualizzazione incorporato in un file APK apparentemente innocuo. Una volta installato, verifica la presenza di oltre 500 potenziali app target, tra cui piattaforme bancarie, di criptovalute e di e-commerce, e le trasferisce in un ambiente virtuale. Questa configurazione imita una tattica utilizzata da FjordPhantom nel 2023, ma va ben oltre in termini di portata e sofisticatezza.
A differenza del malware Android standard, Godfather sfrutta la virtualizzazione per eseguire le app target all'interno di contenitori controllati, consentendo:
- Furto di credenziali in tempo reale e intercettazione delle risposte back-end
- Imitazione visiva perfetta delle app legittime
- Elusione dei meccanismi di sicurezza integrati di Android
Acquisizione invisibile tramite StubActivity
Un elemento cruciale di questo inganno è l'utilizzo di StubActivity, un segnaposto all'interno del malware che avvia app virtualizzate senza esporre alcuna interfaccia utente o logica propria. Quando la vittima tenta di accedere alla propria app bancaria legittima, Godfather intercetta l'azione utilizzando i suoi privilegi di accessibilità e la reindirizza al contenitore virtuale, mostrando l'interfaccia reale dell'app e ottenendo il pieno controllo delle interazioni dell'utente.
Questo trucco inganna Android facendogli credere di stare eseguendo un'applicazione sicura, mentre tutte le azioni sensibili, dall'inserimento di un PIN alla conferma delle transazioni, vengono monitorate e dirottate.
Sotto il cofano: strumenti e tecniche
Per portare a termine le sue complesse operazioni, Godfather si affida a una combinazione di tecnologie open source e ingegneria intelligente:
Motore VirtualApp : consente la creazione di contenitori isolati.
Xposed Framework : si collega alle API di Android per registrare input e risposte.
Intent spoofing : dirotta i comandi destinati ad app legittime e li reindirizza.
File system virtuale e ID di processo : supportano la replicazione fluida dell'ambiente.
Nei momenti chiave, il malware sovrappone schermate di blocco o di aggiornamento false per chiedere agli utenti di immettere credenziali sensibili, che vengono poi trasmesse agli aggressori.
Uno sguardo al passato: l’evoluzione del Padrino
Godfather è apparso per la prima volta a marzo 2021 e da allora si è evoluto in modo significativo. Nella sua variante di dicembre 2022, il malware prendeva di mira 400 app in 16 paesi utilizzando attacchi con overlay HTML. La versione attuale, tuttavia, sfrutta la virtualizzazione completa, estendendo la sua portata a oltre 500 app in tutto il mondo. Sebbene l'ultima campagna sembri concentrarsi su una dozzina di banche turche, l'infrastruttura è pronta per un'espansione a livello globale.
Come rimanere protetti
Per ridurre il rischio di cadere vittima di minacce avanzate come Godfather, gli utenti dovrebbero seguire queste buone pratiche di sicurezza informatica:
- Scarica in modo sicuro
- Installa app solo da Google Play o da fonti attendibili.
- Evita di caricare APK lateralmente, a meno che l'editore non sia affidabile e verificato.
- Praticare la vigilanza delle app
- Mantieni abilitato Google Play Protect.
- Monitorare le autorizzazioni delle app, in particolare le richieste di servizi di accessibilità.
- Diffidate delle schermate di blocco o delle richieste di aggiornamento inaspettate.
L'ultima versione di Godfather segna un passaggio verso minacce mobili più sofisticate, che sfumano il confine tra attività dannose e comportamenti legittimi delle app. Rimanere informati e prudenti è la prima linea di difesa.
