Новая версия вредоносного ПО Godfather для Android представляет серьезную угрозу пользователям банковских и финансовых приложений по всему миру. Этот вирус применяет уникальный метод создания изолированных виртуальных сред на мобильных устройствах для кражи конфиденциальной информации и проведения несанкционированных операций. Об этом сообщает издание Bleeping Computer (BC).
Согласно данным компании Zimperium, изучившей данный вредонос, Godfather запускает легитимные приложения внутри контролируемой виртуальной среды. Это дает вредоносному ПО возможность в режиме реального времени следить за действиями пользователя, перехватывать логины и пароли, а также вмешиваться в транзакции, при этом сохраняя полный визуальный маскарад. Пользователь продолжает видеть привычный интерфейс приложения и не подозревает о происходящем. Такой подход напоминает методику вредоноса FjordPhantom, однако Godfather обладает более продвинутыми возможностями, используя полноценную виртуальную файловую систему и перехват системных вызовов.
Объем атаки Godfather впечатляет: он нацелен на более 500 банковских, криптовалютных и прочих финансовых приложений по всему миру. Вредонос способен собирать учетные данные, пароли, PIN-коды, записывать касания экрана и даже перехватывать ответы банковских серверов. Для обмана пользователей вирус отображает поддельные экраны блокировки или обновления, а также черные экраны, в то время как злоумышленники дистанционно управляют устройством, совершая платежи и переводы.
Godfather был впервые обнаружен в марте 2021 года и с тех пор значительно эволюционировал. Если в предыдущих версиях, например, выявленных Group-IB в декабре 2022 года, использовались HTML-наложения, то нынешняя модификация перешла к более скрытной и мощной технологии виртуализации. В текущей кампании, обнаруженной Zimperium, основное внимание уделено десятку турецких банковских приложений, но операторы Godfather могут активировать атаки на другие приложения из списка более чем 500 целей по всему миру.
Для защиты от этой сложной угрозы специалисты советуют скачивать приложения исключительно из официального магазина Google Play.
