Godfather kreira izolovana virtuelna okruženja na mobilnim uređajima da bi ukrao podatke o računima i transakcije iz legitimnih bankarskih aplikacija.
Umjesto da samo prikazuje lažnu sliku, malver instalira skrivenu aplikaciju, koja zatim preuzima i pokreće pravu kopiju aplikacije banke ili kripto aplikacije u kontrolisanom prostoru, „sandbox-u“. Kada pokušate da otvorite stvarnu aplikaciju, malver vas preusmjerava na ovu virtuelnu verziju.
Malver prati i kontroliše svaku radnju, dodir i riječ koju kucate u realnom vremenu, zbog čega je gotovo nemoguće da primjetite da je bilo šta pogrešno, jer imate interakciju sa pravom aplikacijom, samo u manipulisanom okruženju. Ova sofisticirana tehnika omogućava napadačima da dođu do korisničkih imena, lozinki i PIN-ova uređaja, i dobiju potpunu kontrolu nad vašim nalozima.
Ova metoda daje napadačima ogromnu prednost. Mogu da ukradu osjetljive podatke dok ih unosite, pa čak i da promijene način rada aplikacije, zaobilazeći bezbjednosne provjere, uključujući i one koje detektuju rutovanje telefona. Godfather je napravljen prenamjenom nekoliko legitimnih alata otvorenog koda, kao što su VirtualApp i XposedBridge, što mu i omogućava ovakve napade, ali i pomaže da izbjegne otkrivanje.
Iako Godfather koristi naprednu virtuelizaciju, on takođe koristi tradicionalne napade preklapanja, postavljajući lažne ekrane direktno preko legitimnih aplikacija. Ovakav pristup pokazuje izuzetnu sposobnost sajber kriminalaca da prilagode svoje metode.
Kampanja malvera Godfather je široko rasprostranjena – malver cilja 484 aplikacije širom svijeta, iako je napad virtuelizacije trenutno fokusiran na aplikacije 12 turskih banaka. Široki domet malvera uključuje ne samo aplikacije banaka i kripto platforme, već i globalne usluge plaćanja, e-trgovinu, društvene mreže i komunikaciju.
Malver takođe koristi određene trikove kako bi izbjegao da ga bezbjednosni alati otkriju. On mijenja način na koji se APK fajlovi (paketi Android aplikacija) sastavljaju, mijenjajući njihovu strukturu kako bi izgledali šifrovano ili dodajući obmanjujuće informacije poput $JADXBLOCK. Takođe premješta veliki dio svog štetnog koda u Java dio aplikacije i otežava čitanje njenog Android manifest fajla sa nebitnim informacijama.
GodFather i dalje koristi Androidove usluge pristupačnosti (dizajnirane da pomognu korisnicima sa invaliditetom) kako bi prevario korisnike da instaliraju skrivene dijelove aplikacije. Koristi obmanjujuće poruke poput „Potrebna vam je dozvola da koristite sve funkcije aplikacije“, a kada dobije dozvole za pristupačnost, može tajno sebi dati više dozvola bez znanja korisnika.
Takođe, malver skriva važne informacije, poput one kako se povezuje sa svojim kontrolnim serverom (C2), što otežava praćenje. Kada je aktivan, šalje detalje ekrana napadačima, dajući im mogućnost pregleda uređaja u realnom vremenu. Ovo ukazuje da su prijetnje za mobilne uređaje sve složenije i da ih je sve teže uočiti.
Godfather se prvi put pojavio u martu 2021. godine, i od tada je se neprestano razvija. Najnovija verzija malvera Godfather predstavlja značajan napredak u odnosu na posljednji uzorak koji je analizirala Group-IB u decembru 2022. godine, koji je ciljao 400 aplikacija i 16 zemalja koristeći HTML preklapanja ekrana za prijavu preko aplikacija banaka i kripto mijenjačnica.
Da biste se zaštitili od ovog malvera, preuzimajte aplikacije sa Google Play-a ili APK-ove samo od izdavača kojima vjerujete, provjerite da li je Play Protect aktivan i obratite pažnju na tražene dozvole, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu