Мобилни злонамерни софтвер Godfather
Нова, побољшана верзија озлоглашеног Андроид малвера под називом „Godfather“ прави таласе у свету сајбер безбедности. Применом изолованих виртуелних окружења на зараженим уређајима, овај прикривени малвер сада омогућава шпијунирање у реалном времену, крађу акредитива и финансијске преваре, а све то док остаје скривено под маском легитимних банкарских апликација.
Преглед садржаја
Виртуелни светови за праву крађу
Надограђени злонамерни софтвер Godfather користи оквир за виртуелизацију уграђен у наизглед безопасну APK датотеку. Након инсталације, проверава присуство преко 500 потенцијалних циљних апликација, укључујући банкарске, криптовалуте и платформе за електронску трговину, и премешта их у виртуелно окружење. Ова поставка опонаша тактику коју је FjordPhantom користио 2023. године, али иде далеко даље по обиму и софистицираности.
За разлику од стандардног Андроид малвера, Godfather користи виртуелизацију за покретање циљних апликација унутар контролисаних контејнера, омогућавајући:
- Крађа акредитива у реалном времену и пресретање одговора бекенда
- Беспрекорна визуелна имитација легитимних апликација
- Избегавање уграђених безбедносних механизама Андроида
Невидљиво преузимање путем StubActivity-а
Критични део ове обмане је употреба StubActivity-ја, привременог резервисаног елемента унутар малвера који покреће виртуелизоване апликације без откривања било каквог стварног корисничког интерфејса или сопствене логике. Када жртва покуша да приступи својој легитимној банкарској апликацији, Godfather пресрета радњу користећи своје привилегије услуге приступачности и преусмерава је на виртуелни контејнер, приказујући стварни интерфејс апликације док истовремено добија потпуну контролу над интеракцијама корисника.
Овај трик заварава Андроид да мисли да покреће безбедну апликацију док се све осетљиве радње, од уноса ПИН-а до потврђивања трансакција, прате и преузимају.
Испод хаубе: Алати и технике
Да би остварио своје сложене операције, Godfather се ослања на комбинацију технологија отвореног кода и паметног инжењеринга:
ВиртуалАпп енџин – омогућава креирање изолованих контејнера.
Xposed Framework – повезује се са Андроид АПИ-јима за снимање уноса и одговора.
Намерно лажно представљање – отима команде намењене легитимним апликацијама и преусмерава их.
Виртуелни фајл систем и ИД-ови процеса – подржавају беспрекорну репликацију окружења.
У кључним тренуцима, злонамерни софтвер прекрива лажне закључане екране или екране за ажурирање како би подстакао кориснике да унесу осетљиве податке за приступ, који се затим откривају нападачима.
Поглед уназад: Еволуција кума
Кум се први пут појавио у марту 2021. године и од тада се значајно развио. У својој варијанти из децембра 2022. године, злонамерни софтвер је циљао 400 апликација у 16 земаља користећи HTML преклапајуће нападе. Међутим, тренутна верзија користи потпуну виртуелизацију, проширујући свој домет на преко 500 апликација широм света. Иако се чини да се најновија кампања фокусира на дванаест турских банака, инфраструктура је спремна за глобално ширење.
Како остати заштићен
Да би смањили ризик да постану жртве напредних претњи попут „Кума“, корисници би требало да следе ове најбоље праксе сајбер безбедности:
- Безбедно преузимање
- Инсталирајте апликације само са Google Play-а или поузданих извора.
- Избегавајте учитавање APK-ова са других уређаја, осим ако је издавач реномиран и верификован.
- Вежбајте будност у вези са апликацијама
- Оставите Google Play заштиту омогућену.
- Пратите дозволе апликација, посебно захтеве за услуге приступачности.
- Будите сумњичави према неочекиваним закључаним екранима или упитима за ажурирање.
Најновија верзија апликације Godfather сигнализира помак ка софистициранијим мобилним претњама које бришу границу између злонамерних активности и легитимног понашања апликација. Информисаност и опрезност су прва линија одбране.
