Mobilna zlonamerna programska oprema Godfather

Izboljšana različica zloglasne zlonamerne programske opreme za Android Godfather povzroča veliko razburjenja v svetu kibernetske varnosti. Z uvajanjem izoliranih virtualnih okolij na okuženih napravah ta prikrita zlonamerna programska oprema zdaj omogoča vohunjenje v realnem času, krajo poverilnic in finančne goljufije, vse to pa ostane skrito pod krinko legitimnih bančnih aplikacij.

Virtualni svetovi za resnično krajo

Nadgrajena zlonamerna programska oprema Godfather uporablja ogrodje za virtualizacijo, vdelano v na videz neškodljivo datoteko APK. Ko je nameščena, preveri prisotnost več kot 500 potencialnih ciljnih aplikacij, vključno z bančništvom, kriptovalutami in platformami za e-trgovino, ter jih premakne v virtualno okolje. Ta nastavitev posnema taktiko, ki jo je leta 2023 uporabil FjordPhantom, vendar po obsegu in dovršenosti presega ta okvir.

Za razliko od standardne zlonamerne programske opreme za Android Godfather izkorišča virtualizacijo za zagon ciljnih aplikacij znotraj nadzorovanih vsebnikov, kar omogoča:

• Kraja poverilnic v realnem času in prestrezanje odzivov zalednih sistemov
• Brezhibna vizualna imitacija legitimnih aplikacij
• Izogibanje vgrajenim varnostnim mehanizmom sistema Android

Nevidni prevzem prek StubActivity

Ključni del te prevare je uporaba StubActivity, nadomestnega znaka znotraj zlonamerne programske opreme, ki zažene virtualizirane aplikacije, ne da bi pri tem razkrila kakršen koli dejanski uporabniški vmesnik ali lastno logiko. Ko žrtev poskuša dostopati do svoje legitimne bančne aplikacije, Godfather prestreže dejanje z uporabo svojih privilegijev storitve dostopnosti in ga preusmeri v virtualni vsebnik, pri čemer prikaže dejanski vmesnik aplikacije, hkrati pa pridobi popoln nadzor nad interakcijami uporabnikov.

Ta trik zavede Android, da misli, da izvaja varno aplikacijo, medtem ko so vsa občutljiva dejanja, od vnosa PIN-a do potrditve transakcij, nadzorovana in ugrabljena.

Pod pokrovom: orodja in tehnike

Za doseganje svojih kompleksnih operacij se Godfather zanaša na mešanico odprtokodnih tehnologij in pametnega inženiringa:

VirtualApp engine – omogoča ustvarjanje izoliranih vsebnikov.

Xposed Framework – se poveže z Androidovimi API-ji za beleženje vnosov in odgovorov.

Namerno ponarejanje – ugrabi ukaze, namenjene legitimnim aplikacijam, in jih preusmeri.

Virtualni datotečni sistemi in ID-ji procesov – podpirajo brezhibno replikacijo okolja.

V ključnih trenutkih zlonamerna programska oprema prekrije lažne zaklenjene zaslone ali zaslone za posodobitve, da bi uporabnike pozvala k vnosu občutljivih poverilnic, ki jih nato ukrade napadalcem.

Pogled nazaj: Botrova evolucija

Godfather se je prvič pojavil marca 2021 in se je od takrat precej razvil. V svoji različici iz decembra 2022 je zlonamerna programska oprema ciljala na 400 aplikacij v 16 državah z uporabo napadov s prekrivanjem HTML. Trenutna različica pa uporablja popolno virtualizacijo, s čimer se njen doseg razširja na več kot 500 aplikacij po vsem svetu. Čeprav se zdi, da se najnovejša kampanja osredotoča na ducat turških bank, je infrastruktura pripravljena za globalno širjenje.

Kako ostati zaščiten

Da bi zmanjšali tveganje, da bi postali žrtev naprednih groženj, kot je Godfather, naj uporabniki upoštevajo te najboljše prakse kibernetske varnosti:

• Varno prenesi
• Nameščajte aplikacije samo iz trgovine Google Play ali zaupanja vrednih virov.
• Izogibajte se nalaganju APK-jev, razen če je založnik ugleden in preverjen.
• Bodite pozorni na aplikacije
• Pustite Google Play Protect omogočen.
• Spremljajte dovoljenja aplikacij, zlasti zahteve za storitve dostopnosti.
• Bodite sumničavi do nepričakovanih zaklenjenih zaslonov ali pozivov k posodobitvi.

Najnovejša različica programa Godfather nakazuje premik k bolj sofisticiranim mobilnim grožnjam, ki brišejo mejo med zlonamerno dejavnostjo in legitimnim vedenjem aplikacij. Prva obrambna linija je obveščenost in previdnost.