Вирус Godfather начал взламывать банковские приложения на Android

Новая версия вредоносного ПО Godfather для Android представляет серьезную угрозу для пользователей банковских и финансовых приложений по всему миру. Вирус использует уникальную тактику создания изолированных виртуальных сред на мобильных устройствах для кражи конфиденциальных данных и проведения несанкционированных транзакций. Об этом сообщает издание Bleeping Computer (BC), передает Day.Az со ссылкой на Gazeta.ru.

Как сообщает компания Zimperium, проанализировавшая угрозу, Godfather запускает легитимные приложения внутри контролируемой виртуальной среды. Это позволяет вредоносу в реальном времени шпионить за действиями пользователя, перехватывать учетные данные и манипулировать транзакциями, при этом поддерживая полную визуальную маскировку. Пользователь видит обычный интерфейс приложения, не подозревая о скрытой активности. Механизм действия напоминает тактику другого вредоноса FjordPhantom, но Godfather значительно расширяет свои возможности, используя полноценную виртуальную файловую систему и перехват системных вызовов.

Масштабы атаки Godfather впечатляют: он нацелен на более чем 500 банковских, криптовалютных и других финансовых приложений по всему миру. Вредонос способен записывать учетные данные, пароли, PIN-коды, фиксировать касания экрана и даже перехватывать ответы от банковских серверов. Для обмана жертв вирус отображает фальшивые экраны блокировки или обновления, а также черные экраны, пока операторы удаленно управляют устройством, инициируя платежи или переводы.

Godfather впервые был замечен в марте 2021 года и с тех пор претерпел значительную эволюцию. Если предыдущие версии, например, проанализированная Group-IB в декабре 2022 года, использовали HTML-наложения, то нынешняя версия перешла на более скрытную и мощную технологию виртуализации. Хотя текущая кампания, обнаруженная Zimperium, сфокусирована на десятке турецких банковских приложений, операторы Godfather могут активировать другие подмножества из 500 целевых приложений для атак в различных регионах.

Для защиты от этого изощренного вредоноса эксперты рекомендуют загружать приложения только из официального магазина Google Play.