Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Mobilni telefoni, 20.06.2025, 11:00 AM

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku nazvanu virtuelizacija na uređaju kako bi preuzela kontrolu nad legitimnim aplikacijama.

Godfather kreira izolovana virtuelna okruženja na mobilnim uređajima da bi ukrao podatke o računima i transakcije iz legitimnih bankarskih aplikacija.

Umesto da samo prikazuje lažnu sliku, malver instalira skrivenu aplikaciju, koja zatim preuzima i pokreće pravu kopiju aplikacije banke ili kripto aplikacije u kontrolisanom prostoru, „sandbox-u“. Kada pokušate da otvorite stvarnu aplikaciju, malver vas preusmerava na ovu virtuelnu verziju.

Malver prati i kontroliše svaku radnju, dodir i reč koju kucate u realnom vremenu, zbog čega je gotovo nemoguće da primetite da je bilo šta pogrešno, jer imate interakciju sa pravom aplikacijom, samo u manipulisanom okruženju. Ova sofisticirana tehnika omogućava napadačima da dođu do korisničkih imena, lozinki i PIN-ova uređaja, i dobiju potpunu kontrolu nad vašim nalozima.

Ova metoda daje napadačima ogromnu prednost. Mogu da ukradu osetljive podatke dok ih unosite, pa čak i da promene način rada aplikacije, zaobilazeći bezbednosne provere, uključujući i one koje detektuju rutovanje telefona. GodFather je napravljen prenamenom nekoliko legitimnih alata otvorenog koda, kao što su VirtualApp i XposedBridge, što mu i omogućava ovakve napade, ali i pomaže da izbegne otkrivanje.

Iako GodFather koristi naprednu virtuelizaciju, on takođe koristi tradicionalne napade preklapanja, postavljajući lažne ekrane direktno preko legitimnih aplikacija. Ovakav pristup pokazuje izuzetnu sposobnost sajber kriminalaca da prilagode svoje metode.

Kampanja malvera GodFather je široko rasprostranjena - malver cilja 484 aplikacije širom sveta, iako je napad virtuelizacije trenutno fokusiran na aplikacije 12 turskih banaka. Široki domet malvera uključuje ne samo aplikacije banaka i kripto platforme, već i globalne usluge plaćanja, e-trgovinu, društvene mreže i komunikaciju.

Malver takođe koristi određene trikove kako bi izbegao da ga bezbednosni alati otkriju. On menja način na koji se APK fajlovi (paketi Android aplikacija) sastavljaju, menjajući njihovu strukturu kako bi izgledali šifrovano ili dodajući obmanjujuće informacije poput $JADXBLOCK. Takođe premešta veliki deo svog štetnog koda u Java deo aplikacije i otežava čitanje njenog Android manifest fajla sa nebitnim informacijama.

GodFather i dalje koristi Androidove usluge pristupačnosti (dizajnirane da pomognu korisnicima sa invaliditetom) kako bi prevario korisnike da instaliraju skrivene delove aplikacije. Koristi obmanjujuće poruke poput „Potrebna vam je dozvola da koristite sve funkcije aplikacije“, a kada dobije dozvole za pristupačnost, može tajno sebi dati više dozvola bez znanja korisnika.

Takođe, malver skriva važne informacije, poput one kako se povezuje sa svojim kontrolnim serverom (C2), što otežava praćenje. Kada je aktivan, šalje detalje ekrana napadačima, dajući im mogućnost pregleda uređaja u realnom vremenu. Ovo ukazuje da su pretnje za mobilne uređaje sve složenije i da ih je sve teže uočiti.

Godfather se prvi put pojavio u martu 2021. godine, i od tada je se neprestano razvija. Najnovija verzija malvera Godfather predstavlja značajan napredak u odnosu na poslednji uzorak koji je analizirala Group-IB u decembru 2022. godine, koji je ciljao 400 aplikacija i 16 zemalja koristeći HTML preklapanja ekrana za prijavu preko aplikacija banaka i kripto menjačnica.

Da biste se zaštitili od ovog malvera, preuzimajte aplikacije sa Google Play-a ili APK-ove samo od izdavača kojima verujete, proverite da li je Play Protect aktivan i obratite pažnju na tražene dozvole.

Ilustracija: Chat GPT