Эксперты по кибербезопасности из компании Zimperium обнаружили принципиально новую модификацию опасного Android-банкера Godfather, которая использует передовые технологии виртуализации для незаметного перехвата банковских данных. Эта эволюция вредоносного ПО демонстрирует растущую изощренность киберпреступников в обходе современных систем защиты мобильных устройств.
История развития и текущие возможности Godfather
Впервые зафиксированный исследователями ThreatFabric в марте 2021 года, банкер Godfather прошел значительную трансформацию за прошедшие годы. Если в декабре 2022 года, согласно анализу Group-IB, малварь атаковала 400 криптовалютных и банковских приложений в 16 странах, используя традиционные HTML-оверлеи, то сегодня ее арсенал существенно расширился.
Новая версия нацелена на более чем 500 банковских, криптовалютных и e-commerce приложений по всему миру, что делает ее одной из наиболее масштабных угроз в сфере мобильной кибербезопасности.
Революционная технология виртуализации в мобильных атаках
Ключевая особенность обновленного Godfather заключается в использовании контролируемой виртуальной среды для выполнения вредоносных операций. Эта тактика впервые была применена в конце 2023 года малварью FjordPhantom, однако Godfather развил концепцию значительно дальше.
Технический арсенал включает:
Виртуальную файловую систему для изоляции процессов
Виртуальные идентификаторы процессов для маскировки активности
Подмену Intent’ов для перехвата системных команд
StubActivity как прокси-компонент для запуска легитимных приложений
Механизм работы StubActivity
StubActivity представляет собой ключевой элемент архитектуры атаки — пустую Activity без пользовательского интерфейса, встроенную в вредоносный APK. Она функционирует как прокси, создавая контейнер и запуская настоящие Activity банковских приложений внутри виртуальной среды, эффективно обманывая операционную систему Android.
Техническая реализация атаки
Godfather распространяется в виде APK-файла со встроенным фреймворком виртуализации, использующим open-source инструменты VirtualApp и Xposed для перехвата системных вызовов. После установки малварь выполняет сканирование устройства на предмет целевых приложений.
При обнаружении банковского приложения запускается сложная цепочка действий:
Получение разрешений Accessibility Service для системного доступа
Перехват Intent’ов при запуске легитимного приложения
Перенаправление в StubActivity внутри хост-контейнера
Запуск виртуализированной копии в изолированной среде
Методы сбора конфиденциальных данных
Используя возможности Xposed framework для API-хукинга, Godfather получает беспрецедентный доступ к:
Учетным данным и паролям пользователей
PIN-кодам и биометрическим данным
Информации о касаниях экрана для анализа поведения
Ответам от банковских серверов в режиме реального времени
Процесс выполнения мошеннических операций
После сбора критически важной информации малварь переходит к активной фазе атаки. Операторы получают удаленный контроль над устройством для выполнения несанкционированных финансовых операций, при этом пользователь видит поддельные экраны «обновления» или черные экраны, скрывающие подозрительную активность.
Текущая кампания, обнаруженная Zimperium, сфокусирована на турецких банковских учреждениях, однако эксперты предупреждают о потенциальном расширении атак на другие регионы с использованием обширной базы из 500 целевых приложений.
Появление такой изощренной техники виртуализации в мобильных атаках знаменует новый этап в эволюции киберугроз. Пользователям критически важно поддерживать актуальные версии антивирусного ПО, избегать установки приложений из неофициальных источников и регулярно проверять разрешения установленных программ. Банковским учреждениям рекомендуется усилить многофакторную аутентификацию и внедрить дополнительные механизмы обнаружения аномальной активности для защиты клиентских данных.
