Исследователи из Zimperium обнаружили новую версию Android-зловреда Godfather, и, похоже, злоумышленники вышли на новый уровень. Теперь троян создаёт изолированную виртуальную среду прямо на смартфоне жертвы и запускает в ней настоящие банковские приложения.
Выглядит всё как обычно — интерфейс и иконка те же, только данные улетают прямиком к киберпреступникам.
Этот подход напоминает приёмы другого вредоноса — FjordPhantom, который в конце 2023 года использовал контейнеризацию, чтобы запускать приложения SEA-банков внутри виртуалки и обходить защиту Android.
Но Godfather, по данным Zimperium, пошёл дальше: в его списке более 500 приложений — банки, криптокошельки, маркетплейсы. И всё это работает на фоне красивой картинки с настоящим UI.
Под капотом у зловреда — связка VirtualApp и Xposed, а также хитрая техника с так называемой StubActivity. Это такая подставная активность в приложении, которая маскирует запуск виртуализированного приложения, обманывая систему и пользователя.
В результате Android думает, что запускает родное банковское приложение, а на самом деле всё происходит внутри заражённого контейнера.
Как только пользователь открывает приложение банка, Godfather через сервис доступности перехватывает Intent (сигнал на запуск) и вместо настоящего запуска показывает виртуализированную копию — прямо в своём контейнере.
И да, интерфейс остаётся тем же, но все данные, которые вы вводите, — логины, пароли, ПИН-коды — перехватываются через API-хуки и могут быть использованы для перевода средств или входа в аккаунты.
Мало того, зловред может накинуть фейковый экран блокировки или обновления, пока в фоне сам управляет банковским приложением, отправляя платежи от имени пользователя. У жертвы просто чёрный экран — и никакого подозрения.
Godfather вообще не новичок — впервые о нём сообщили в 2021 году. Тогда он атаковал порядка 400 приложений в 16 странах и использовал HTML-оверлеи, чтобы красть данные. Новая версия — это уже полноценный виртуальный «банк в банке», и с ней бороться будет куда сложнее.
Пока что зафиксированы атаки на турецкие банки, но список целевых приложений позволяет переключаться на любой регион. Так что расслабляться рано.
Как защититься? Всё по классике: ставьте приложения только из Google Play, не выключайте Play Protect, внимательно смотрите, какие разрешения просят новые программы, и лучше сто раз подумайте, прежде чем ставить APK с форума.
