Godfather Mobile Malware

臭名昭著的安卓恶意软件“教父”的全新增强版正在网络安全领域掀起波澜。通过在受感染设备上部署隔离的虚拟环境，这款隐秘的恶意软件现在可以进行实时监视、凭证窃取和金融欺诈，同时还能隐藏在合法银行应用程序的伪装之下。

虚拟世界的真实盗窃

升级版的“教父”恶意软件使用嵌入在看似无害的 APK 文件中的虚拟化框架。安装后，它会检查是否存在 500 多个潜在目标应用，包括银行、加密货币和电商平台，并将它们迁移到虚拟环境中。这种设置模仿了 FjordPhantom 在 2023 年使用的一种策略，但在范围和复杂程度上远超后者。

与标准 Android 恶意软件不同，Godfather 利用虚拟化在受控容器内运行目标应用程序，从而实现：

• 实时凭证盗窃和后端响应拦截
• 无缝视觉模仿合法应用程序
• 规避Android内置安全机制

通过 StubActivity 进行隐形接管

这种欺骗手段的关键在于使用 StubActivity，它是恶意软件中的占位符，用于启动虚拟化应用程序，而不会暴露任何真实的 UI 或自身逻辑。当受害者尝试访问其合法的银行应用程序时，Godfather 会利用其辅助功能服务权限拦截该操作，并将其重定向到虚拟容器，从而显示真实的应用程序界面，同时获得对用户交互的完全控制权。

这个技巧会欺骗 Android，使其认为它正在运行一个安全的应用程序，而实际上所有敏感操作（从输入 PIN 到确认交易）都会受到监控和劫持。

底层：工具和技术

为了完成其复杂的操作，Godfather 依靠开源技术和巧妙的工程技术相结合：

VirtualApp 引擎——支持创建隔离容器。

Xposed 框架– 挂接到 Android API 以记录输入和响应。

意图欺骗——劫持合法应用程序的命令并重新路由它们。

虚拟文件系统和进程 ID - 支持无缝环境复制。

在关键时刻，恶意软件会覆盖虚假的锁屏或更新屏幕，提示用户输入敏感凭证，然后将这些信息泄露给攻击者。

回顾：《教父》的演变

Godfather 于 2021 年 3 月首次出现，此后经历了显著演变。在其 2022 年 12 月的变种中，该恶意软件使用 HTML 覆盖攻击，针对了 16 个国家/地区的 400 个应用程序。然而，当前版本采用了完全虚拟化技术，其攻击范围已扩展到全球 500 多个应用程序。虽然最新的攻击活动似乎集中在十几家土耳其银行，但其基础设施已到位，可以在全球范围内进行攻击。

如何保持保护

为了降低成为 Godfather 等高级威胁受害者的风险，用户应遵循以下网络安全最佳实践：

• 安全下载
• 仅安装来自 Google Play 或可信来源的应用程序。
• 除非发布者信誉良好且经过验证，否则请避免侧载 APK。
• 练习应用程序警惕性
• 保持 Google Play Protect 处于启用状态。
• 监控应用程序权限，尤其是辅助功能服务的请求。
• 对意外的锁屏或更新提示保持警惕。

最新版本的“教父”标志着移动威胁正向更复杂的方向发展，模糊了恶意活动与合法应用行为之间的界限。保持知情和谨慎是第一道防线。