Android-зловред Godfather теперь запускает банки в своей песочнице

Екатерина Быстрова 20 Июня 2025 - 09:16

...

Android-зловред Godfather теперь запускает банки в своей песочнице

Исследователи из Zimperium обнаружили новую версию Android-зловреда Godfather, и, похоже, злоумышленники вышли на новый уровень. Теперь троян создаёт изолированную виртуальную среду прямо на смартфоне жертвы и запускает в ней настоящие банковские приложения.

Выглядит всё как обычно — интерфейс и иконка те же, только данные улетают прямиком к киберпреступникам.

Этот подход напоминает приёмы другого вредоноса — FjordPhantom, который в конце 2023 года использовал контейнеризацию, чтобы запускать приложения SEA-банков внутри виртуалки и обходить защиту Android.

Но Godfather, по данным Zimperium, пошёл дальше: в его списке более 500 приложений — банки, криптокошельки, маркетплейсы. И всё это работает на фоне красивой картинки с настоящим UI.

Под капотом у зловреда — связка VirtualApp и Xposed, а также хитрая техника с так называемой StubActivity. Это такая подставная активность в приложении, которая маскирует запуск виртуализированного приложения, обманывая систему и пользователя.

В результате Android думает, что запускает родное банковское приложение, а на самом деле всё происходит внутри заражённого контейнера.

Как только пользователь открывает приложение банка, Godfather через сервис доступности перехватывает Intent (сигнал на запуск) и вместо настоящего запуска показывает виртуализированную копию — прямо в своём контейнере.

И да, интерфейс остаётся тем же, но все данные, которые вы вводите, — логины, пароли, ПИН-коды — перехватываются через API-хуки и могут быть использованы для перевода средств или входа в аккаунты.

Мало того, зловред может накинуть фейковый экран блокировки или обновления, пока в фоне сам управляет банковским приложением, отправляя платежи от имени пользователя. У жертвы просто чёрный экран — и никакого подозрения.

Godfather вообще не новичок — впервые о нём сообщили в 2021 году. Тогда он атаковал порядка 400 приложений в 16 странах и использовал HTML-оверлеи, чтобы красть данные. Новая версия — это уже полноценный виртуальный «банк в банке», и с ней бороться будет куда сложнее.

Пока что зафиксированы атаки на турецкие банки, но список целевых приложений позволяет переключаться на любой регион. Так что расслабляться рано.

Как защититься? Всё по классике: ставьте приложения только из Google Play, не выключайте Play Protect, внимательно смотрите, какие разрешения просят новые программы, и лучше сто раз подумайте, прежде чем ставить APK с форума.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 12 Февраля 2026 - 14:21

Windows Домашние пользователи Корпорации Защита персональных компьютеров Microsoft

Windows 11 получит разрешения для приложений как в Android

Microsoft планирует серьёзно пересмотреть модель безопасности в Windows 11. Компания хочет сделать систему «безопасной по умолчанию», для чего готовит два больших изменения: режим Baseline Security Mode и новую модель разрешений для приложений, напоминающую Android и iOS.

Если коротко, Windows станет строже к тому, что именно может запускаться на компьютере и к каким данным получают доступ программы.

Но при этом полностью закрывать платформу Microsoft не собирается, возможность установить «что угодно» останется, просто теперь это будет более осознанный выбор.

Самое заметное изменение — Baseline Security Mode. В этом режиме Windows 11 будет по умолчанию запускать только корректно подписанные приложения, сервисы и драйверы. Система станет проверять цифровую подпись и целостность ПО во время выполнения. Если программа не соответствует требованиям, она просто не запустится, если только пользователь явно не разрешит это.

Новый режим объединяет в себе идеи Smart App Control, WDAC, HVCI и других механизмов, которые раньше либо были отключены по умолчанию, либо работали только на отдельных устройствах. Теперь это хотят сделать частью базового поведения системы.

При этом Microsoft подчёркивает: исключения будут возможны. Если вы используете старые программы, собственные утилиты или неподписанные драйверы, их можно будет разрешить вручную. Для ИТ-администраторов предусмотрены механизмы настройки исключений.

Второе важное изменение — новая система прозрачности и согласия (User Transparency and Consent). Windows постепенно переходит к модели, где приложения будут запрашивать доступ к конфиденциальным компонентам — файлам, камере, микрофону, установке компонентов — через понятные системные запросы. Почти как на Android или iOS.

Сейчас система разрешений в Windows разбросана между настройками, старой Панелью управления, реестром и внутренними опциями самих программ. Большинство пользователей толком не понимают, к чему именно дали доступ. В новой модели все разрешения можно будет централизованно просматривать, менять и отзывать.

Microsoft отдельно отмечает, что такие запросы будут обратимыми — если вы передумали, доступ можно будет отключить позже.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!