Oprogramowanie złośliwe GodFather Android uruchamia prawdziwe aplikacje w piaskownicy w celu kradzieży danych

Badacze cyberbezpieczeństwa z Zimperium zLabs, kierowani przez Fernando Ortegę i Vishnu Pratapagiri, odkryli niebezpieczną nową wersję złośliwego oprogramowania GodFather Android, wykorzystując zaawansowaną technikę zwaną wirtualizacją na urządzeniu, aby przejąć legalne aplikacje mobilne. Dotyczy to w szczególności aplikacji bankowych i kryptowalutowych, skutecznie zamieniając Twoje urządzenie w szpiega.

Zamiast po prostu pokazywać fałszywy obraz, malware instaluje ukrytą aplikację hosta, która następnie pobiera i uruchamia prawdziwą kopię Twojej aplikacji bankowej lub kryptograficznej w swojej własnej kontrolowanej przestrzeni, piaskownicy. Gdy próbujesz otworzyć swoją prawdziwą aplikację, malware przekierowuje Cię do tej wirtualnej wersji.

Następnie złośliwe oprogramowanie monitoruje i kontroluje każdą czynność, stuknięcie i słowo, które wpisujesz w czasie rzeczywistym, sprawiając, że niemal niemożliwe jest zauważenie czegokolwiek złego, ponieważ wchodzisz w interakcję z prawdziwą aplikacją, tylko w zmanipulowanym środowisku. Ta wyrafinowana technika pozwala atakującym uzyskać nazwy użytkowników, hasła i kody PIN urządzeń, uzyskując pełną kontrolę nad Twoimi kontami.

Ta metoda daje atakującym ogromną przewagę. Mogą ukraść poufne dane, gdy je wprowadzasz, a nawet zmienić sposób działania aplikacji, omijając kontrole bezpieczeństwa, w tym te, które wykrywają rootowanie telefonu. Co ciekawe, złośliwe oprogramowanie bankowe GodFather zostało stworzone przez ponowne wykorzystanie kilku legalnych narzędzi typu open source, takich jak VirtualApp i XposedBridge, w celu wykonania oszukańczych ataków i uniknięcia wykrycia.

Podczas gdy GodFather wykorzystuje swoją zaawansowaną wirtualizację , nadal używa tradycyjnych ataków nakładkowych, umieszczając oszukańcze ekrany bezpośrednio nad legalnymi aplikacjami. To podwójne podejście pokazuje niezwykłą zdolność aktorów zagrożeń do dostosowywania swoich metod.

Według wpisu na blogu firmy, kampania złośliwego oprogramowania GodFather Android jest szeroko rozpowszechniona, atakując 484 aplikacje na całym świecie, chociaż wysoce zaawansowany atak wirtualizacyjny koncentruje się obecnie na 12 konkretnych tureckich instytucjach finansowych. Ten szeroki zasięg obejmuje nie tylko platformy bankowe i kryptowalutowe, ale także główne globalne usługi płatnicze, e-commerce, media społecznościowe i komunikację.

Malware wykorzystuje również sprytne sztuczki, aby uniknąć wykrycia przez narzędzia bezpieczeństwa. Zmienia sposób, w jaki pliki APK (pakiety aplikacji Android) są ze sobą łączone, ingerując w ich strukturę, aby wyglądały na zaszyfrowane lub dodając mylące informacje, takie jak $JADXBLOCK . Przenosi również znaczną część swojego szkodliwego kodu do części Java aplikacji i sprawia, że ​​plik manifestu Androida jest trudniejszy do odczytania z powodu nieistotnych informacji.

Dalsze dochodzenie wykazało, że GodFather nadal korzysta z usług ułatwień dostępu Androida (zaprojektowanych, aby pomagać użytkownikom niepełnosprawnym), aby oszukać użytkowników i zmusić ich do zainstalowania ukrytych części swojej aplikacji. Używa zwodniczych wiadomości, takich jak „Potrzebujesz uprawnień, aby korzystać ze wszystkich funkcji aplikacji”, a po uzyskaniu uprawnień ułatwień dostępu może potajemnie przyznać sobie więcej uprawnień bez wiedzy użytkownika.

Ponadto złośliwe oprogramowanie ukrywa ważne informacje, takie jak miejsce połączenia z serwerem sterującym (C2), w zakodowanej formie, co utrudnia śledzenie. Po aktywacji wysyła atakującym szczegóły ekranu, zapewniając im podgląd urządzenia w czasie rzeczywistym. To odkrycie podkreśla zatem trwające wyzwanie w zakresie bezpieczeństwa urządzeń mobilnych , ponieważ zagrożenia stają się coraz bardziej złożone i trudniejsze do wykrycia.

„ To zdecydowanie nowatorska technika i widzę jej potencjał ” — powiedział Casey Ellis , założyciel Bugcrowd. „ Ciekawe będzie, jak skuteczna jest ona w praktyce, czy aktorzy zagrożeń zdecydują się ją wdrożyć poza Turkiye i czy inni aktorzy zagrożeń spróbują powtórzyć podobne podejście ” .