(https://i.postimg.cc/6pkjvgyp/Android.png) (https://postimages.org/)
Investigadores de ciberseguridad de Zimperium zLabs, dirigidos por Fernando Ortega y Vishnu Pratapagiri, han descubierto una nueva y peligrosa versión del malware GodFather para Android que utiliza una técnica avanzada llamada virtualización en el dispositivo para controlar aplicaciones móviles legítimas. Se dirige especialmente a aplicaciones bancarias y de criptomonedas, convirtiendo tu dispositivo en un espía.
El truco de la virtualización
En lugar de simplemente mostrar una imagen falsa, el malware instala una aplicación host oculta, que descarga y ejecuta una copia real de tu aplicación bancaria o de criptomonedas dentro de su propio espacio controlado, un sandbox. Cuando intentas abrir la aplicación real, el malware te redirige a esta versión virtual.
El malware monitoriza y controla cada acción, toque y palabra que escribes en tiempo real, lo que hace casi imposible que notes algo incorrecto, ya que estás interactuando con la aplicación real, pero en un entorno manipulado. Esta sofisticada técnica permite a los atacantes obtener nombres de usuario, contraseñas y PIN del dispositivo, obteniendo así el control total de tus cuentas.
Este método ofrece a los atacantes una gran ventaja. Pueden robar datos confidenciales al ingresarlos e incluso alterar el funcionamiento de la aplicación, eludiendo los controles de seguridad, incluyendo los que detectan el rooteo de un teléfono. Cabe destacar que el malware bancario GodFather se crea readaptando varias herramientas legítimas de código abierto, como VirtualApp y XposedBridge, para ejecutar sus ataques engañosos y evadir la detección.
Objetivos Globales y Maniobras Evasivas
Si bien GodFather emplea su virtualización avanzada, también continúa utilizando ataques tradicionales de superposición, colocando pantallas engañosas directamente sobre aplicaciones legítimas. Este doble enfoque demuestra la notable capacidad de los actores de amenazas para adaptar sus métodos.
Según la publicación del blog de la compañía, la campaña de malware GodFather para Android está muy extendida y se dirige a 484 aplicaciones a nivel mundial, aunque el ataque de virtualización altamente avanzado se centra actualmente en 12 instituciones financieras turcas específicas. Este amplio alcance incluye no solo plataformas bancarias y de criptomonedas, sino también importantes servicios globales de pagos, comercio electrónico, redes sociales y comunicación.
El malware también utiliza trucos ingeniosos para evitar ser detectado por las herramientas de seguridad. Modifica la forma en que se crean los archivos APK (paquetes de aplicaciones de Android), alterando su estructura para que parezcan cifrados o añadiendo información engañosa como $JADXBLOCK. Además, traslada gran parte de su código dañino a la parte Java de la aplicación y dificulta la lectura de su archivo de manifiesto de Android con información irrelevante.
Investigaciones posteriores revelaron que GodFather aún utiliza los servicios de accesibilidad de Android (diseñados para ayudar a usuarios con discapacidades) para engañarlos y que instalen partes ocultas de su aplicación. Utiliza mensajes engañosos como "Necesita permiso para usar todas las funciones de la aplicación" y, una vez que obtiene los permisos de accesibilidad, puede otorgarse más permisos en secreto sin que el usuario lo sepa.
Además, el malware oculta información importante, como su conexión a su servidor de control (C2), de forma cifrada, lo que dificulta su rastreo. Una vez activo, envía detalles de la pantalla a los atacantes, brindándoles una vista en tiempo real del dispositivo. Este descubrimiento, por lo tanto, pone de relieve el desafío constante que enfrenta la seguridad móvil a medida que las amenazas se vuelven más complejas y difíciles de detectar.
"Esta es sin duda una técnica novedosa y veo su potencial", afirmó Casey Ellis, fundador de Bugcrowd. "Será interesante ver su eficacia real en la práctica, independientemente de si los actores de amenazas deciden implementarla fuera de Turquía y si otros actores intentan replicar un enfoque similar".
Fuente:
HackRead
https://hackread.com/godfather-android-malware-apps-sandbox-steal-data/