Una nueva versión del malware para Android «Godfather» crea entornos virtuales
aislados en dispositivos móviles para robar datos de cuentas y transacciones
de aplicaciones bancarias legítimas.
Estas aplicaciones maliciosas se ejecutan dentro de un entorno virtual
controlado en el dispositivo, lo que permite el espionaje en tiempo real, el
robo de credenciales y la manipulación de transacciones, manteniendo un engaño
visual perfecto.
La táctica es similar a la observada con el malware para Android
FjordPhantom
a finales de 2023, que también utilizó la virtualización para ejecutar
aplicaciones bancarias del Sudeste Asiático (SEA) dentro de contenedores para
evadir la detección.
Sin embargo, el alcance de Godfather es mucho más amplio, afectando a más de
500 aplicaciones bancarias, de criptomonedas y de comercio electrónico en todo
el mundo mediante un sistema de archivos virtual completo, un ID de proceso
virtual, suplantación de intenciones y StubActivity.
Según Zimperium y Cyble, que lo analizaron, el nivel de engaño es muy alto. El usuario ve la interfaz
de usuario real de la aplicación, y las protecciones de Android pasan por alto
el aspecto de la operación maliciosa, ya que solo se declaran las actividades
de la aplicación host en el manifiesto.
Funcionamiento virtualizado
El malware utiliza una técnica de instalación basada en sesiones para eludir las restricciones de acceso y presenta un mensaje que indica que se «Debe conceder permiso para usar todas las funciones de la aplicación», diseñado para inducir a las víctimas a instalar el malware sin saberlo.
Godfather se presenta como una aplicación APK que contiene un marco de
virtualización integrado y utiliza herramientas de código abierto como el
motor VirtualApp y Xposed para el realizar el hooking.
Una vez activo en el dispositivo, busca aplicaciones de destino instaladas y,
si las encuentra, las coloca dentro de su entorno virtual y utiliza una
StubActivity para ejecutarla dentro del contenedor host.
Una StubActivity es una actividad declarada en la aplicación que ejecuta el
motor de virtualización (el malware) y que actúa como un shell o
proxy para iniciar y ejecutar actividades desde aplicaciones
virtualizadas. El malware no contiene su propia interfaz de usuario ni lógica,
sino que delega el comportamiento a la aplicación host, engañando a Android
haciéndole creer que se está ejecutando una aplicación legítima mientras la
intercepta y controla.
Cuando la víctima inicia la aplicación bancaria real, el permiso del servicio
de accesibilidad de Godfather intercepta el «Intent» y lo redirige a una
StubActivity dentro de la aplicación host, que inicia la versión
virtual de la aplicación bancaria dentro del contenedor.
El usuario ve la interfaz real de la aplicación, pero todos los datos
confidenciales involucrados en sus interacciones pueden ser fácilmente
interceptados. Mediante el uso de Xposed para la interconexión de API,
Godfather puede secuestrar credenciales de cuenta, contraseñas, PIN, eventos
táctiles y capturar respuestas del backend bancario.
El malware muestra una superposición falsa en la pantalla de bloqueo en
momentos clave para engañar a la víctima y que introduzca su PIN o contraseña.
Una vez recopilados y extraídos todos esos datos, espera las órdenes de los
operadores para desbloquear el dispositivo, navegar por la interfaz de
usuario, abrir aplicaciones y activar pagos o transferencias desde la
aplicación bancaria real.
Durante este proceso, el usuario ve una pantalla de «actualización» falsa o
una pantalla negra para no levantar sospechas.
Godfather apareció por primera vez en el ámbito del malware para Android en
marzo de 2021, según lo descubierto por ThreatFabric, y ha seguido una
trayectoria evolutiva impresionante desde entonces.
La última versión de Godfather constituye una evolución significativa con
respecto a la
última muestra analizada por Group-IB en diciembre de 2022, que afectó a 400 aplicaciones y 16 países mediante superposiciones HTML en
la pantalla de inicio de sesión sobre aplicaciones de intercambio de
criptomonedas y de banca en línea.
Aunque la campaña detectada por Zimperium solo afecta a una docena de
aplicaciones bancarias turcas, otros operadores de Godfather podrían optar por
activar otros subconjuntos de las 500 aplicaciones objetivo para atacar
diferentes regiones.
Para protegerse de este malware, descargue únicamente aplicaciones de Google
Play o APK de desarrolladores de confianza, asegúrese de que Play Protect esté
activo y preste atención a los permisos solicitados.
Fuente:
BC