Godfather Mobile Malware
Patobulinta liūdnai pagarsėjusios „Android“ kenkėjiškos programos „Godfather“ versija kelia ažiotažą kibernetinio saugumo pasaulyje. Diegdama izoliuotas virtualias aplinkas užkrėstuose įrenginiuose, ši slapta kenkėjiška programa dabar leidžia šnipinėti realiuoju laiku, vogti įgaliojimus ir sukčiauti finansiškai, visa tai slepiant po teisėtomis bankininkystės programėlėmis.
Turinys
Virtualūs pasauliai tikroms vagystėms
Atnaujinta „Godfather“ kenkėjiška programa naudoja virtualizacijos sistemą, įterptą į, atrodytų, nekenksmingą APK failą. Įdiegus, ji patikrina, ar nėra daugiau nei 500 potencialių taikinių programėlių, įskaitant bankininkystės, kriptovaliutų ir el. prekybos platformas, ir perkelia jas į virtualią aplinką. Ši strategija atkartoja „FjordPhantom“ 2023 m. naudotą taktiką, tačiau gerokai pranoksta ją savo apimtimi ir rafinuotumu.
Skirtingai nuo standartinės „Android“ kenkėjiškos programos, „Godfather“ naudoja virtualizaciją, kad paleistų tikslines programas kontroliuojamuose konteineriuose, taip įgalindama:
- Kredencialų vagystė realiuoju laiku ir atsako perėmimas serverio viduje
- Sklandus teisėtų programėlių vizualinis pamėgdžiojimas
- „Android“ integruotų saugumo mechanizmų apėjimas
Nematomas perėmimas per „StubActivity“
Svarbi šios apgaulės dalis yra „StubActivity“ – kenkėjiškos programos vidinio elemento, kuris paleidžia virtualias programas neatskleisdamas jokios tikros savo vartotojo sąsajos ar logikos, naudojimas. Kai auka bando prisijungti prie savo teisėtos bankininkystės programėlės, „Godfather“ perima veiksmą naudodama savo pritaikymo neįgaliesiems paslaugos teises ir nukreipia jį į virtualų konteinerį, rodydama tikrąją programėlės sąsają ir įgydama visišką naudotojo sąveikos kontrolę.
Šis triukas apgauna „Android“, priversdamas mane, kad veikia saugi programa, o visi jautrūs veiksmai – nuo PIN kodo įvedimo iki operacijų patvirtinimo – yra stebimi ir užgrobiami.
Po gaubtu: įrankiai ir metodai
Siekdamas atlikti sudėtingas operacijas, „Godfather“ remiasi atvirojo kodo technologijų ir sumanios inžinerijos deriniu:
„VirtualApp“ variklis – leidžia kurti izoliuotus konteinerius.
„Xposed Framework“ – prisijungia prie „Android“ API, kad įrašytų įvestį ir atsakymus.
Tikslų klastojimas – užgrobia komandas, skirtas teisėtoms programoms, ir jas peradresuoja.
Virtuali failų sistema ir procesų ID – palaiko sklandų aplinkos replikavimą.
Svarbiais momentais kenkėjiška programa rodo netikrus užrakinimo arba atnaujinimo ekranus, kad paragintų vartotojus įvesti slaptus prisijungimo duomenis, kurie vėliau perduodami užpuolikams.
Žvilgsnis atgal: Krikštatėvio evoliucija
„Krikštatėvis“ pirmą kartą pasirodė 2021 m. kovo mėn. ir nuo to laiko gerokai išsivystė. 2022 m. gruodžio mėn. išleistoje versijoje kenkėjiška programa, naudodama HTML perdangos atakas, taikėsi į 400 programėlių 16 šalių. Tačiau dabartinė versija naudoja visišką virtualizaciją, todėl jos pasiekiamumas išplečiamas iki daugiau nei 500 programėlių visame pasaulyje. Nors naujausia kampanija, atrodo, sutelkta į keliolika Turkijos bankų, infrastruktūra yra sukurta, kad būtų galima pereiti į pasaulinį tinklą.
Kaip išlikti apsaugotiems
Norėdami sumažinti riziką tapti pažangių grėsmių, tokių kaip „Krikštatėvis“, aukomis, vartotojai turėtų laikytis šių kibernetinio saugumo geriausios praktikos pavyzdžių:
- Atsisiųsti saugiai
- Įdiekite programas tik iš „Google Play“ arba patikimų šaltinių.
- Venkite APK failų įkėlimo iš šoninio serverio, nebent leidėjas yra patikimas ir patikrintas.
- Praktikuokite budrumą programėlėje
- Palaikykite „Google Play Protect“ įjungtą.
- Stebėkite programų leidimus, ypač pritaikymo neįgaliesiems paslaugų užklausas.
- Būkite įtariai reaguojantys į netikėtus užrakinimo ekranus arba atnaujinimo raginimus.
Naujausia „Godfather“ versija rodo poslinkį link sudėtingesnių mobiliųjų grėsmių, kurios panaikina ribą tarp kenkėjiškos veiklos ir teisėto programėlių elgesio. Informuotumas ir atsargumas yra pirmoji gynybos linija.
