Phần mềm độc hại Godfather Mobile

Một phiên bản mới được cải tiến của phần mềm độc hại khét tiếng Godfather trên Android đang tạo nên làn sóng trong thế giới an ninh mạng. Bằng cách triển khai các môi trường ảo bị cô lập trên các thiết bị bị nhiễm, phần mềm độc hại ẩn này hiện cho phép theo dõi thời gian thực, đánh cắp thông tin đăng nhập và gian lận tài chính, tất cả trong khi vẫn ẩn dưới vỏ bọc là các ứng dụng ngân hàng hợp pháp.

Thế giới ảo cho hành vi trộm cắp thực sự

Phần mềm độc hại Godfather nâng cấp sử dụng một khuôn khổ ảo hóa được nhúng trong một tệp APK có vẻ vô hại. Sau khi cài đặt, nó sẽ kiểm tra sự hiện diện của hơn 500 ứng dụng mục tiêu tiềm năng, bao gồm các nền tảng ngân hàng, tiền điện tử và thương mại điện tử, và di chuyển chúng vào một môi trường ảo. Thiết lập này bắt chước một chiến thuật được FjordPhantom sử dụng vào năm 2023 nhưng vượt xa về phạm vi và sự tinh vi.

Không giống như phần mềm độc hại Android thông thường, Godfather tận dụng công nghệ ảo hóa để chạy các ứng dụng mục tiêu bên trong các vùng chứa được kiểm soát, cho phép:

• Trộm cắp thông tin xác thực theo thời gian thực và chặn phản hồi ở phía sau
• Mô phỏng trực quan liền mạch các ứng dụng hợp pháp
• Tránh né các cơ chế bảo mật tích hợp của Android

Tiếp quản vô hình thông qua StubActivity

Một phần quan trọng của trò lừa đảo này là sử dụng StubActivity, một trình giữ chỗ trong phần mềm độc hại khởi chạy các ứng dụng ảo hóa mà không để lộ bất kỳ giao diện người dùng hoặc logic thực nào của riêng nó. Khi nạn nhân cố gắng truy cập ứng dụng ngân hàng hợp pháp của họ, Godfather sẽ chặn hành động bằng cách sử dụng các đặc quyền dịch vụ trợ năng của nó và chuyển hướng đến vùng chứa ảo, hiển thị giao diện ứng dụng thực trong khi giành toàn quyền kiểm soát các tương tác của người dùng.

Thủ thuật này đánh lừa Android khiến nó nghĩ rằng nó đang chạy một ứng dụng an toàn trong khi mọi hành động nhạy cảm, từ việc nhập mã PIN đến xác nhận giao dịch, đều bị theo dõi và chiếm đoạt.

Dưới mui xe: Công cụ và kỹ thuật

Để thực hiện các hoạt động phức tạp của mình, Godfather dựa vào sự kết hợp giữa công nghệ nguồn mở và kỹ thuật thông minh:

Công cụ VirtualApp – hỗ trợ việc tạo ra các container riêng biệt.

Xposed Framework – kết nối với API Android để ghi lại dữ liệu đầu vào và phản hồi.

Giả mạo ý định – chiếm đoạt các lệnh dành cho các ứng dụng hợp pháp và chuyển hướng chúng.

ID hệ thống tập tin và tiến trình ảo – hỗ trợ sao chép môi trường liền mạch.

Vào những thời điểm quan trọng, phần mềm độc hại sẽ phủ lên màn hình khóa giả hoặc màn hình cập nhật để nhắc người dùng nhập thông tin đăng nhập nhạy cảm, sau đó đánh cắp thông tin này cho kẻ tấn công.

Nhìn lại: Sự tiến hóa của Bố già

Godfather lần đầu tiên xuất hiện vào tháng 3 năm 2021 và kể từ đó đã phát triển đáng kể. Trong phiên bản tháng 12 năm 2022, phần mềm độc hại này đã nhắm mục tiêu vào 400 ứng dụng trên 16 quốc gia bằng cách sử dụng các cuộc tấn công lớp phủ HTML. Tuy nhiên, phiên bản hiện tại sử dụng ảo hóa hoàn toàn, mở rộng phạm vi tiếp cận của nó đến hơn 500 ứng dụng trên toàn thế giới. Trong khi chiến dịch mới nhất dường như tập trung vào một chục ngân hàng Thổ Nhĩ Kỳ, cơ sở hạ tầng đã sẵn sàng để xoay trục trên toàn cầu.

Làm thế nào để được bảo vệ

Để giảm nguy cơ trở thành nạn nhân của các mối đe dọa tiên tiến như Godfather, người dùng nên tuân thủ các biện pháp an ninh mạng tốt nhất sau:

• Tải xuống an toàn
• Chỉ cài đặt ứng dụng từ Google Play hoặc các nguồn đáng tin cậy.
• Tránh tải APK trừ khi nhà phát hành có uy tín và đã được xác minh.
• Thực hành ứng dụng cảnh giác
• Luôn bật Google Play Protect.
• Theo dõi quyền của ứng dụng, đặc biệt là các yêu cầu về dịch vụ trợ năng.
• Hãy cảnh giác với màn hình khóa hoặc lời nhắc cập nhật bất ngờ.

Phiên bản mới nhất của Godfather báo hiệu sự chuyển hướng sang các mối đe dọa di động tinh vi hơn, làm mờ ranh giới giữa hoạt động độc hại và hành vi ứng dụng hợp pháp. Luôn cập nhật thông tin và thận trọng là tuyến phòng thủ đầu tiên.