Новая версия вредоносной программы для Android – Godfather («Крестный отец») создает изолированные виртуальные среды на мобильных устройствах, чтобы похищать данные о счетах и транзакциях из банковских приложений.
Эти вредоносные приложения выполняются внутри контролируемой виртуальной среды на устройстве, позволяя в режиме реального времени шпионить, красть учетные данные и манипулировать транзакциями, сохраняя при этом идеальную маскировку визуально.
Эта тактика напоминает ту, что была замечена в конце 2023 года в вредоносной программе FjordPhantom для Android, которая также использовала виртуализацию для выполнения банковских приложений SEA внутри контейнеров, чтобы избежать обнаружения.
Однако сфера применения Godfather гораздо шире: он атакует более 500 банковских, криптовалютных и электронных приложений по всему миру, используя полную виртуальную файловую систему, виртуальный Process ID, подмену намерений и StubActivity.
По данным компании Zimperium, которая провела анализ, уровень обмана очень высок. Пользователь видит реальный пользовательский интерфейс приложения, а средства защиты Android не замечают вредоносных операций, поскольку в манифесте заявлены только действия хост-приложения.
Кража виртуализированных данных
Godfather поставляется в виде APK-приложения, содержащего встроенный фреймворк виртуализации, использующий такие инструменты с открытым исходным кодом, как движок VirtualApp и Xposed для подключения.
Будучи активным на устройстве, оно проверяет наличие установленных целевых приложений, и если они найдены, то помещает их в свою виртуальную среду и использует StubActivity для запуска внутри хост-контейнера.
StubActivity – это заглушка, запускающая механизм виртуализации (вредоносное ПО). Она выступает в качестве оболочки или прокси для запуска и выполнения действий из виртуализированных приложений.
Она не содержит собственного пользовательского интерфейса или логики, а вместо этого делегирует поведение хост-приложению, обманывая Android, заставляя думать, что запускается легитимное приложение, а на самом деле перехватывая и контролируя его.
Когда жертва запускает реальное банковское приложение, разрешение службы доступности Godfather перехватывает «намерение» и перенаправляет его на StubActivity внутри хост-приложения, которое инициирует виртуальную версию банковского приложения внутри контейнера.
Пользователь видит интерфейс реального приложения, но все конфиденциальные данные, связанные с его взаимодействием, могут быть легко перехвачены.
Используя Xposed для подключения API, Godfather может записывать учетные данные, пароли, PIN-коды, события прикосновений и перехватывать ответы от банковского бэкенда.
Вредоносная программа отображает поддельный экран блокировки в ключевые моменты, чтобы обманом заставить жертву ввести PIN-код/пароль.
После сбора и утечки данных он ожидает команд от операторов, чтобы разблокировать устройство, выполнить навигацию по пользовательскому интерфейсу, открыть приложения и запустить платежи/переводы из настоящего банковского приложения.
При этом пользователь видит поддельный экран «обновления» или черный экран, чтобы не вызвать подозрений.
Развивающаяся угроза
Godfather впервые появился на рынке вредоносных программ для Android в марте 2021 года, как было обнаружено ThreatFabric, и с тех пор прошел впечатляющую эволюционную траекторию.
Последняя версия Godfather представляет собой значительное развитие по сравнению с последним образцом, проанализированным Group-IB в декабре 2022 года, который был нацелен на 400 приложений и 16 стран, используя HTML-накладки на экран входа в систему поверх приложений для выпечки и криптовалютных бирж.
Хотя обнаруженная Zimperium кампания нацелена только на дюжину турецких банковских приложений, другие операторы Godfather могут активировать другие подмножества из 500 целевых приложений для атак на различные регионы.
Чтобы защитить себя от этого вредоносного ПО, загружайте приложения только из Google Play или APK-файлы от издателей, которым вы доверяете, убедитесь, что Play Protect активен, и обращайте внимание на запрашиваемые разрешения.
Комментарии (0)