Gudfaderns mobila skadliga program

En nyligen förbättrad version av den ökända Android-skadliga programvaran Godfather gör succé i cybersäkerhetsvärlden. Genom att distribuera isolerade virtuella miljöer på infekterade enheter möjliggör denna smygande skadliga programvara nu realtidsspionage, stöld av autentiseringsuppgifter och ekonomiskt bedrägeri, allt medan den förblir dold under täckmanteln av legitima bankappar.

Virtuella världar för riktig stöld

Den uppgraderade Godfather-skadliga programvaran använder ett virtualiseringsramverk inbäddat i en till synes oskyldig APK-fil. När den är installerad kontrollerar den förekomsten av över 500 potentiella målappar, inklusive bank-, kryptovaluta- och e-handelsplattformar, och flyttar dem till en virtuell miljö. Denna uppsättning härmar en taktik som användes av FjordPhantom 2023 men går långt utöver det vanliga i omfattning och sofistikering.

Till skillnad från vanlig Android-skadlig programvara använder Godfather virtualisering för att köra målappar inuti kontrollerade containrar, vilket möjliggör:

• Stöld av autentiseringsuppgifter i realtid och avlyssning av backend-svar
• Sömlös visuell efterlikning av legitima appar
• Undvikande av Androids inbyggda säkerhetsmekanismer

Osynlig övertagande via StubActivity

En kritisk del av detta bedrägeri är användningen av StubActivity, en platshållare inom skadlig kod som startar virtualiserade appar utan att exponera något verkligt användargränssnitt eller egen logik. När offret försöker komma åt sin legitima bankapp avlyssnar Godfather åtgärden med hjälp av sina tillgänglighetsprivilegier och omdirigerar den till den virtuella behållaren, vilket visar det verkliga appgränssnittet samtidigt som man får full kontroll över användarinteraktioner.

Det här tricket lurar Android att tro att det kör en säker applikation medan alla känsliga handlingar, från att skriva en PIN-kod till att bekräfta transaktioner, övervakas och kapas.

Under huven: Verktyg och tekniker

För att utföra sina komplexa operationer förlitar sig Godfather på en blandning av öppen källkodsteknik och smart ingenjörskonst:

VirtualApp-motor – driver skapandet av isolerade containrar.

Xposed Framework – kopplas till Android API:er för att spela in inmatning och svar.

Avsiktlig förfalskning – kapar kommandon avsedda för legitima appar och omdirigerar dem.

Virtuella filsystem och process-ID :n – stöder sömlös miljöreplikering.

Vid viktiga tillfällen lägger sig skadlig kod över falska låsskärmar eller uppdateringsskärmar för att uppmana användare att ange känsliga inloggningsuppgifter, vilka sedan ströas ut till angriparna.

En tillbakablick: Gudfaderns utveckling

Godfather dök först upp i mars 2021 och har sedan dess utvecklats avsevärt. I sin variant från december 2022 riktade sig den skadliga programvaran mot 400 appar i 16 länder med hjälp av HTML-överlagringsattacker. Den nuvarande versionen använder dock fullständig virtualisering, vilket utökar dess räckvidd till över 500 appar världen över. Medan den senaste kampanjen verkar fokusera på ett dussin turkiska banker, finns infrastrukturen på plats för att ställa om globalt.

Hur man håller sig skyddad

För att minska risken att bli offer för avancerade hot som Godfather bör användare följa dessa bästa cybersäkerhetspraxis:

• Ladda ner säkert
• Installera endast appar från Google Play eller betrodda källor.
• Undvik att sidladda APK-filer om inte utgivaren är ansedd och verifierad.
• Öva appvaksamhet
• Håll Google Play Protect aktiverat.
• Övervaka appbehörigheter, särskilt förfrågningar om tillgänglighetstjänster.
• Var misstänksam mot oväntade låsskärmar eller uppdateringsmeddelanden.

Den senaste versionen av Godfather signalerar ett skifte mot mer sofistikerade mobilhot som suddar ut gränsen mellan skadlig aktivitet och legitimt appbeteende. Att vara informerad och försiktig är den första försvarslinjen.