Малициозниот софтвер користи напредни техники за да ја преземе контролата врз легитимните апликации.

Истражувачите за сајбер безбедност во Zimperium zLabs открија нова верзија на малициозниот софтвер за Android „Godfather“ која користи напредна техника наречена виртуелизација на уредот за да ја преземе контролата врз легитимните апликации.

Godfather создава изолирани виртуелни средини на мобилните уреди за да краде информации за сметките и трансакциите од легитимни банкарски апликации.

Наместо само да прикажува лажна слика, малициозниот софтвер инсталира скриена апликација, која потоа презема и стартува вистинска копија од банкарската или крипто апликацијата во контролиран простор, „sandbox“. Кога ќе се обидете да ја отворите вистинската апликација, малициозниот софтвер ве пренасочува кон оваа виртуелна верзија.

Малциновиот софтвер ги следи и контролира сите дејства, допири и зборови што ги пишувате во реално време, што го прави речиси невозможно да забележите дека нешто не е во ред, додека комуницирате со вистинската апликација, само во манипулирана средина. Оваа софистицирана техника им овозможува на напаѓачите да добијат кориснички имиња, лозинки и ПИН-ови на уредите и да добијат целосна контрола врз вашите сметки.

Овој метод им дава на напаѓачите огромна предност. Тие можат да украдат чувствителни податоци додека ги пишувате, па дури и да го променат начинот на кој работи апликацијата, заобиколувајќи ги безбедносните проверки, вклучувајќи ги и оние што детектираат рутирање. GodFather е изграден со пренамена на неколку легитимни алатки со отворен код, како што се VirtualApp и XposedBridge, што му овозможува да ги извршува овие напади и му помага да избегне откривање.

Иако GodFather користи напредна виртуелизација, тој исто така користи традиционални напади со преклопување, поставувајќи лажни екрани директно врз легитимните апликации. Овој пристап ја демонстрира извонредната способност на сајбер-криминалците да ги прилагодат своите методи.

Кампањата на малициозен софтвер GodFather е широко распространета – малициозниот софтвер е насочен кон 484 апликации ширум светот, иако нападот за виртуелизација во моментов е фокусиран на апликации од 12 турски банки. Широкиот досег на малициозниот софтвер вклучува не само банкарски и крипто платформски апликации, туку и глобални услуги за плаќање, е-трговија, социјални медиуми и комуникации.

Малициозниот софтвер, исто така, користи трикови за да избегне откривање од безбедносните алатки. Го менува начинот на кој се компилираат APK-датотеките (пакети на Android апликации), менувајќи ја нивната структура за да изгледаат шифрирани или додавајќи лажни информации како $JADXBLOCK. Исто така, го преместува поголемиот дел од својот малициозен код во делот Java од апликацијата и ја прави нејзината манифест-датотека за Android потешка за читање со неважни информации.

GodFather продолжува да ги експлоатира услугите за пристапност на Android (дизајнирани да им помогнат на корисниците со попреченост) за да ги измами корисниците да инсталираат скриени делови од апликацијата. Користи лажни пораки како „Потребна ви е дозвола за да ги користите сите функции на апликацијата“, а откако ќе добие дозволи за пристапност, може тајно да си додели повеќе дозволи без знаење на корисникот.

Малциновиот софтвер, исто така, крие важни информации, како што е начинот на кој се поврзува со својот контролен сервер (C2), што го отежнува следењето. Кога е активен, испраќа детали за екранот до напаѓачите, давајќи им можност да го гледаат уредот во реално време. Ова сугерира дека мобилните закани стануваат сè посложени и потешки за откривање.

Godfather првпат се појави во март 2021 година и оттогаш еволуира. Најновата верзија на малициозниот софтвер Godfather претставува значително подобрување во однос на последниот примерок анализиран од Group-IB во декември 2022 година, кој беше насочен кон 400 апликации и 16 земји користејќи HTML преклопувања на екранот за најавување преку банкарски апликации и апликации за крипто размена.

За да се заштитите од овој малициозен софтвер, преземајте апликации само од Google Play или APK-датотеки од издавачи на кои им верувате, проверете дали Play Protect е овозможен и обрнете внимание на бараните дозволи.