Вредоносное ПО GodFather для Android запускает настоящие приложения в «песочнице» для кражи данных

Исследователи кибербезопасности из Zimperium zLabs во главе с Фернандо Ортегой и Вишну Пратапагири обнаружили опасную новую версию вредоносного ПО GodFather для Android , использующую передовую технику, называемую виртуализацией на устройстве, для захвата легитимных мобильных приложений. Она особенно нацелена на банковские и криптовалютные приложения, фактически превращая ваше собственное устройство в шпиона.

Вместо того, чтобы просто показывать поддельное изображение, вредоносная программа устанавливает скрытое хост-приложение, которое затем загружает и запускает настоящую копию вашего банковского или криптографического приложения внутри собственного контролируемого пространства, песочницы. Когда вы пытаетесь открыть свое фактическое приложение, вредоносная программа перенаправляет вас на эту виртуальную версию.

Затем вредоносная программа отслеживает и контролирует каждое действие, нажатие и слово, которое вы печатаете в режиме реального времени, делая практически невозможным для вас заметить что-либо неправильное, поскольку вы взаимодействуете с настоящим приложением, просто в манипулируемой среде. Эта сложная техника позволяет злоумышленникам получать имена пользователей, пароли и PIN-коды устройств, получая полный контроль над вашими учетными записями.

Этот метод дает злоумышленникам огромное преимущество. Они могут украсть конфиденциальные данные, когда вы их вводите, и даже изменить работу приложения, обходя проверки безопасности, включая те, которые обнаруживают рутирование телефона. Примечательно, что банковское вредоносное ПО GodFather создано путем повторного использования нескольких легитимных инструментов с открытым исходным кодом, таких как VirtualApp и XposedBridge, для выполнения своих обманных атак и уклонения от обнаружения.

В то время как GodFather использует свою передовую виртуализацию , он также продолжает использовать традиционные атаки с наложением, размещая обманные экраны непосредственно поверх легитимных приложений. Этот двойной подход показывает замечательную способность злоумышленников адаптировать свои методы.

Согласно сообщению в блоге компании, вредоносная кампания GodFather Android широко распространена и нацелена на 484 приложения по всему миру, хотя в настоящее время эта высокоразвитая атака виртуализации сосредоточена на 12 конкретных турецких финансовых учреждениях. Этот широкий охват охватывает не только банковские и криптовалютные платформы, но и основные мировые сервисы для платежей, электронной коммерции, социальных сетей и коммуникаций.

Вредоносная программа также использует хитрые трюки, чтобы избежать обнаружения средствами безопасности. Она изменяет способ объединения файлов APK (пакетов приложений Android), вмешиваясь в их структуру, чтобы они выглядели зашифрованными, или добавляя вводящую в заблуждение информацию, такую ​​как $JADXBLOCK . Она также перемещает большую часть своего вредоносного кода в часть Java приложения и затрудняет чтение своего файла манифеста Android нерелевантной информацией.

Дальнейшее расследование показало, что GodFather по-прежнему использует службы доступности Android (разработанные для помощи пользователям с ограниченными возможностями), чтобы обманом заставить пользователей установить скрытые части своего приложения. Он использует обманные сообщения, такие как «Вам необходимо разрешение для использования всех функций приложения», и как только он получает разрешения на доступ, он может тайно предоставить себе больше разрешений без ведома пользователя.

Кроме того, вредоносная программа скрывает свою важную информацию, например, где она подключается к своему серверу управления (C2), в закодированной форме, что затрудняет ее отслеживание. После активации она отправляет данные вашего экрана злоумышленникам, предоставляя им обзор вашего устройства в реальном времени. Таким образом, это открытие подчеркивает текущую проблему в области мобильной безопасности, поскольку угрозы становятся все более сложными и их все труднее обнаружить.

« Это определенно новая техника, и я вижу ее потенциал » , — сказал Кейси Эллис , основатель Bugcrowd. « Будет интересно посмотреть, насколько она эффективна в реальных условиях, решат ли субъекты угроз использовать ее за пределами Турции и попытаются ли другие субъекты угроз повторить аналогичный подход » .