Krusttēva mobilā ļaunprogrammatūra
Jauna, uzlabota bēdīgi slavenās Android ļaunprogrammatūras Godfather versija rada viļņus kiberdrošības pasaulē. Izvietojot izolētas virtuālās vides inficētās ierīcēs, šī slepenā ļaunprogrammatūra tagad ļauj veikt reāllaika spiegošanu, akreditācijas datu zādzību un finanšu krāpšanu, vienlaikus paliekot paslēpta zem likumīgu banku lietotņu aizsega.
Satura rādītājs
Virtuālās pasaules īstām zādzībām
Jauninātā Godfather ļaunprogrammatūra izmanto virtualizācijas ietvaru, kas iegults šķietami nekaitīgā APK failā. Pēc instalēšanas tā pārbauda vairāk nekā 500 potenciālo mērķa lietotņu klātbūtni, tostarp banku, kriptovalūtu un e-komercijas platformas, un pārvieto tās uz virtuālu vidi. Šī iestatīšana atdarina FjordPhantom 2023. gadā izmantoto taktiku, taču sniedzas daudz tālāk gan darbības jomas, gan sarežģītības ziņā.
Atšķirībā no standarta Android ļaunprogrammatūras, Godfather izmanto virtualizāciju, lai palaistu mērķa lietotnes kontrolētos konteineros, nodrošinot:
- Reāllaika akreditācijas datu zādzība un aizmugursistēmas atbildes pārtveršana
- Leģitīmu lietotņu nemanāma vizuāla atdarināšana
- Android iebūvēto drošības mehānismu apiešana
Neredzama pārņemšana, izmantojot StubActivity
Šīs maldināšanas kritiski svarīga sastāvdaļa ir StubActivity izmantošana — ļaunprogrammatūras vietturis, kas palaiž virtualizētas lietotnes, neatklājot nekādu savu reālo lietotāja saskarni vai loģiku. Kad upuris mēģina piekļūt savai likumīgajai bankas lietotnei, Godfather pārtver darbību, izmantojot savas pieejamības pakalpojuma privilēģijas, un novirza to uz virtuālo konteineru, parādot reālās lietotnes saskarni, vienlaikus iegūstot pilnīgu kontroli pār lietotāja mijiedarbību.
Šis triks liek Android sistēmai domāt, ka tā darbojas ar drošu lietojumprogrammu, kamēr visas sensitīvās darbības, sākot no PIN koda ievadīšanas līdz darījumu apstiprināšanai, tiek uzraudzītas un nolaupītas.
Zem pārsega: rīki un metodes
Lai veiktu savas sarežģītās darbības, Godfather paļaujas uz atvērtā pirmkoda tehnoloģiju un viedas inženierijas apvienojumu:
VirtualApp dzinējs – nodrošina izolētu konteineru izveidi.
Xposed Framework — pieslēdzas Android API, lai ierakstītu ievadi un atbildes.
Nodomu viltošana — nolaupa komandas, kas paredzētas likumīgām lietotnēm, un novirza tās.
Virtuālā failu sistēma un procesu ID — atbalsta nemanāmu vides replikāciju.
Svarīgos brīžos ļaunprogrammatūra pārklāj viltotus bloķēšanas ekrānus vai atjaunināšanas ekrānus, lai mudinātu lietotājus ievadīt sensitīvus akreditācijas datus, kas pēc tam tiek nodoti uzbrucējiem.
Atskats pagātnē: krusttēva evolūcija
“Godfather” pirmo reizi parādījās 2021. gada martā un kopš tā laika ir ievērojami attīstījies. 2022. gada decembra variantā ļaunprogrammatūra, izmantojot HTML pārklājuma uzbrukumus, bija vērsta pret 400 lietotnēm 16 valstīs. Tomēr pašreizējā versijā tiek izmantota pilnīga virtualizācija, paplašinot tās sasniedzamību līdz vairāk nekā 500 lietotnēm visā pasaulē. Lai gan jaunākā kampaņa, šķiet, koncentrējas uz duci Turcijas banku, infrastruktūra ir izveidota, lai mainītu savu darbību globālā mērogā.
Kā saglabāt aizsardzību
Lai samazinātu risku kļūt par tādu progresīvu apdraudējumu kā Godfather upuri, lietotājiem jāievēro šī kiberdrošības paraugprakse:
- Droša lejupielāde
- Instalējiet lietotnes tikai no Google Play vai uzticamiem avotiem.
- Izvairieties no APK failu sānielādes, ja vien izdevējs nav cienījams un verificēts.
- Praktizējiet lietotņu modrību
- Atstājiet iespējotu pakalpojumu Google Play Protect.
- Uzraugiet lietotņu atļaujas, īpaši pieejamības pakalpojumu pieprasījumus.
- Esiet piesardzīgs pret negaidītiem bloķēšanas ekrāniem vai atjaunināšanas uzvednēm.
Jaunākā Godfather versija signalizē par pāreju uz sarežģītākiem mobilajiem apdraudējumiem, kas sapludina robežu starp ļaunprātīgu darbību un likumīgu lietotņu darbību. Informētība un piesardzība ir pirmā aizsardzības līnija.
