Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Godfather Mobile Malware

Godfather Mobile Malware

Tegen Mezo in Mobiele malware
Vertalen naar:

Een nieuwe, verbeterde versie van de beruchte Android-malware Godfather zorgt voor opschudding in de cybersecuritywereld. Door geïsoleerde virtuele omgevingen te implementeren op geïnfecteerde apparaten, maakt deze sluwe malware nu realtime spionage, diefstal van inloggegevens en financiële fraude mogelijk, terwijl het verborgen blijft onder de dekmantel van legitieme bankierapps.

Virtuele werelden voor echte diefstal

De geüpgradede Godfather-malware maakt gebruik van een virtualisatieframework dat is ingebed in een ogenschijnlijk onschuldig APK-bestand. Na installatie controleert het op de aanwezigheid van meer dan 500 potentiële doelwit-apps, waaronder bank-, cryptocurrency- en e-commerceplatforms, en verplaatst deze vervolgens naar een virtuele omgeving. Deze opzet bootst een tactiek na die FjordPhantom in 2023 gebruikte, maar gaat qua reikwijdte en verfijning veel verder.

In tegenstelling tot standaard Android-malware maakt Godfather gebruik van virtualisatie om doel-apps uit te voeren in gecontroleerde containers. Dit maakt het volgende mogelijk:

  • Realtime diefstal van inloggegevens en onderschepping van backend-reacties
  • Naadloze visuele nabootsing van legitieme apps
  • Omzeilen van de ingebouwde beveiligingsmechanismen van Android

Onzichtbare overname via StubActivity

Een cruciaal onderdeel van deze misleiding is het gebruik van StubActivity, een tijdelijke aanduiding in de malware die gevirtualiseerde apps start zonder de echte gebruikersinterface of logica bloot te leggen. Wanneer het slachtoffer probeert toegang te krijgen tot zijn of haar legitieme bankier-app, onderschept Godfather de actie met behulp van de privileges van de toegankelijkheidsservice en leidt deze om naar de virtuele container. Zo wordt de interface van de echte app weergegeven, terwijl de gebruiker volledige controle over de gebruikersinteracties behoudt.

Met deze truc wordt Android ervan overtuigd dat het een veilige applicatie draait, terwijl alle gevoelige handelingen, van het typen van een pincode tot het bevestigen van transacties, worden gemonitord en overgenomen.

Onder de motorkap: hulpmiddelen en technieken

Om zijn complexe operaties uit te voeren, vertrouwt Godfather op een combinatie van open-sourcetechnologieën en slimme engineering:

VirtualApp Engine – maakt het mogelijk om geïsoleerde containers te creëren.

Xposed Framework – maakt verbinding met Android API's om invoer en reacties vast te leggen.

Intent spoofing – kaapt opdrachten die bedoeld zijn voor legitieme apps en leidt ze om.

Virtueel bestandssysteem en proces-ID's – ondersteunt naadloze replicatie van de omgeving.

Op belangrijke momenten overlapt de malware nep-vergrendelschermen of updateschermen, zodat gebruikers gevoelige inloggegevens moeten invoeren. Deze inloggegevens worden vervolgens naar de aanvallers gestuurd.

Een terugblik: de evolutie van Godfather

Godfather verscheen voor het eerst in maart 2021 en heeft zich sindsdien aanzienlijk ontwikkeld. In de variant van december 2022 richtte de malware zich op 400 apps in 16 landen met behulp van HTML-overlayaanvallen. De huidige versie maakt echter gebruik van volledige virtualisatie, waardoor het bereik is uitgebreid naar meer dan 500 apps wereldwijd. Hoewel de nieuwste campagne zich lijkt te richten op een dozijn Turkse banken, is de infrastructuur aanwezig om wereldwijd te kunnen opereren.

Hoe u beschermd blijft

Om het risico te verkleinen dat ze slachtoffer worden van geavanceerde bedreigingen zoals Godfather, moeten gebruikers de volgende best practices voor cyberbeveiliging volgen:

  • Veilig downloaden
  • Installeer alleen apps van Google Play of vertrouwde bronnen.
  • Vermijd het sideloaden van APK's tenzij de uitgever betrouwbaar en geverifieerd is.
  • Oefen App Vigilantie
  • Houd Google Play Protect ingeschakeld.
  • Houd app-machtigingen in de gaten, met name verzoeken om toegankelijkheidsservices.
  • Wees op uw hoede voor onverwachte vergrendelschermen of update-aanvragen.

De nieuwste versie van Godfather signaleert een verschuiving naar geavanceerdere mobiele bedreigingen die de grens tussen kwaadaardige activiteit en legitiem app-gedrag doen vervagen. Geïnformeerd en voorzichtig blijven is de eerste verdedigingslinie.

Trending

Meest bekeken

Bezig met laden...