Фахівці компанії Zimperium виявили кардинально оновлену версію небезпечного Android-банкера Godfather, яка впроваджує передові технології віртуалізації для приховування процесу викрадення банківських даних. Ця еволюція шкідливого програмного забезпечення демонструє зростаючу складність кіберзлочинців у подоланні сучасних систем захисту мобільних пристроїв.
Еволюція банкера Godfather: від простих атак до складної віртуалізації
Вперше зафіксований дослідниками ThreatFabric у березні 2021 року, банкер Godfather зазнав значних змін протягом останніх років. Якщо в грудні 2022 року, за аналізом Group-IB, малвар атакував 400 криптовалютних та банківських додатків у 16 країнах, використовуючи традиційні HTML-накладки, то нині його арсенал істотно розширився.
Поточна версія спрямована на понад 500 банківських, криптовалютних та e-commerce додатків по всьому світу, що робить її однією з наймасштабніших загроз у сфері мобільної кібербезпеки. Ця статистика підкреслює глобальний характер загрози та необхідність посилення захисних заходів.
Прорив у технології мобільних атак: віртуальне середовище як зброя
Ключова інновація оновленого Godfather полягає у використанні контрольованого віртуального середовища для виконання шкідливих операцій. Хоча ця тактика вперше з’явилася наприкінці 2023 року в малварі FjordPhantom, Godfather значно розвинув концепцію, створивши складніший механізм атаки.
Технічний арсенал включає віртуальну файлову систему для ізоляції процесів, віртуальні ідентифікатори процесів для маскування активності, підміну Intent’ів для перехоплення системних команд та StubActivity як проксі-компонент для запуску легітимних додатків.
Архітектура атаки: як працює StubActivity
StubActivity являє собою центральний елемент архітектури атаки – порожню Activity без користувацького інтерфейсу, вбудовану в шкідливий APK. Вона функціонує як проксі, створюючи контейнер і запускаючи справжні Activity банківських додатків всередині віртуального середовища, ефективно обманюючи операційну систему Android.
Технічна реалізація: від розповсюдження до виконання
Godfather розповсюджується у вигляді APK-файлу зі вбудованим фреймворком віртуалізації, що використовує open-source інструменти VirtualApp та Xposed для перехоплення системних викликів. Після встановлення малвар виконує сканування пристрою на предмет цільових додатків.
При виявленні банківського додатка запускається складний ланцюжок дій: отримання дозволів Accessibility Service для системного доступу, перехоплення Intent’ів при запуску легітимного додатка, перенаправлення в StubActivity всередині хост-контейнера та запуск віртуалізованої копії в ізольованому середовищі.
Методи збору конфіденційної інформації
Використовуючи можливості Xposed framework для API-хукінгу, Godfather отримує безпрецедентний доступ до облікових даних та паролів користувачів, PIN-кодів та біометричних даних, інформації про дотики екрана для аналізу поведінки та відповідей від банківських серверів у режимі реального часу.
Фаза активної атаки: від збору даних до фінансового шахрайства
Після збору критично важливої інформації малвар переходить до активної фази атаки. Оператори отримують віддалений контроль над пристроєм для виконання несанкціонованих фінансових операцій, при цьому користувач бачить підроблені екрани “оновлення” або чорні екрани, що приховують підозрілу активність.
Поточна кампанія, виявлена Zimperium, зосереджена на турецьких банківських установах, однак експерти попереджають про потенційне розширення атак на інші регіони з використанням обширної бази з 500 цільових додатків.
Поява такої складної техніки віртуалізації в мобільних атаках знаменує новий етап в еволюції кіберзагроз. Користувачам критично важливо підтримувати актуальні версії антивірусного програмного забезпечення, уникати встановлення додатків з неофіційних джерел та регулярно перевіряти дозволи встановлених програм. Банківським установам рекомендується посилити багатофакторну автентифікацію та впровадити додаткові механізми виявлення аномальної активності для захисту клієнтських даних від цієї прогресуючої загрози.
