Godfather Mobile Malware

臭名昭著的安卓惡意軟體「教父」的全新增強版正在網路安全領域掀起波瀾。透過在受感染設備上部署隔離的虛擬環境，這款隱密的惡意軟體現在可以進行即時監視、憑證竊取和金融欺詐，同時還能隱藏在合法銀行應用程式的偽裝之下。

虛擬世界的真實盜竊

升級版的「教父」惡意軟體使用嵌入在看似無害的 APK 檔案中的虛擬化框架。安裝後，它會檢查是否存在 500 多個潛在目標應用，包括銀行、加密貨幣和電商平台，並將它們遷移到虛擬環境中。這種設定模仿了 FjordPhantom 在 2023 年使用的一種策略，但在範圍和複雜程度上遠遠超越後者。

與標準 Android 惡意軟體不同，Godfather 利用虛擬化在受控容器內運行目標應用程序，從而實現：

• 即時憑證盜竊和後端回應攔截
• 無縫視覺模仿合法應用程式
• 規避Android內建安全機制

透過 StubActivity 進行隱形接管

這種欺騙手段的關鍵在於使用 StubActivity，它是惡意軟體中的佔位符，用於啟動虛擬化應用程序，而不會暴露任何真實的 UI 或自身邏輯。當受害者嘗試存取其合法的銀行應用程式時，Godfather 會利用其輔助功能服務權限攔截該操作，並將其重定向到虛擬容器，從而顯示真實的應用程式介面，同時獲得對用戶互動的完全控制權。

這個技巧會欺騙 Android，使其認為它正在運行一個安全的應用程序，而實際上所有敏感操作（從輸入 PIN 到確認交易）都會受到監控和劫持。

底層：工具與技術

為了完成複雜的操作，Godfather 依靠開源技術和巧妙的工程技術相結合：

VirtualApp 引擎－支援建立隔離容器。

Xposed 框架– 掛接到 Android API 記錄輸入和回應。

意圖欺騙－劫持合法應用程式的命令並重新路由它們。

虛擬檔案系統和進程 ID - 支援無縫環境複製。

在關鍵時刻，惡意軟體會覆蓋虛假的鎖定螢幕或更新螢幕，提示使用者輸入敏感憑證，然後將這些資訊洩露給攻擊者。

回顧：《教父》的演變

Godfather 於 2021 年 3 月首次出現，此後經歷了顯著演變。在其 2022 年 12 月的變種中，該惡意軟體使用 HTML 覆蓋攻擊，針對了 16 個國家/地區的 400 個應用程式。然而，目前版本採用了完全虛擬化技術，其攻擊範圍已擴展到全球 500 多個應用程式。雖然最新的攻擊活動似乎集中在十幾家土耳其銀行，但其基礎設施已到位，可以在全球進行攻擊。

如何保持保護

為了降低成為 Godfather 等高階威脅受害者的風險，使用者應遵循以下網路安全最佳實踐：

• 安全下載
• 僅安裝來自 Google Play 或可信任來源的應用程式。
• 除非發布者信譽良好且經過驗證，否則請避免側載 APK。
• 練習應用程式警覺性
• 保持 Google Play Protect 處於啟用狀態。
• 監控應用程式權限，尤其是輔助功能服務的請求。
• 對意外的鎖定畫面或更新提示保持警覺。

最新版本的「教父」標誌著行動威脅正向更複雜的方向發展，模糊了惡意活動與合法應用行為之間的界線。保持知情和謹慎是第一道防線。