Il malware Android GodFather esegue app reali in un sandbox per rubare dati

I ricercatori di sicurezza informatica di Zimperium zLabs, guidati da Fernando Ortega e Vishnu Pratapagiri, hanno scoperto una nuova pericolosa versione del malware Android GodFather, che utilizza una tecnica avanzata chiamata virtualizzazione on-device per prendere il controllo di app mobili legittime. Prende di mira in particolare le app di banking e criptovalute, trasformando di fatto il dispositivo in una spia.

Invece di mostrare semplicemente un'immagine falsa, il malware installa un'app host nascosta, che poi scarica ed esegue una copia reale della tua app bancaria o di criptovalute all'interno di un proprio spazio controllato, un sandbox. Quando provi ad aprire l'app reale, il malware ti reindirizza a questa versione virtuale.

Il malware monitora e controlla ogni azione, tocco e parola digitata in tempo reale, rendendo quasi impossibile accorgersi di eventuali anomalie, poiché si interagisce con l'app reale, ma in un ambiente manipolato. Questa tecnica sofisticata consente agli aggressori di ottenere nomi utente, password e PIN dei dispositivi, ottenendo il controllo completo dei tuoi account.

Questo metodo offre agli aggressori un enorme vantaggio. Possono rubare dati sensibili non appena li inserisci e persino modificare il funzionamento dell'app, aggirando i controlli di sicurezza, inclusi quelli che rilevano il rooting di un telefono. In particolare, il malware bancario GodFather è stato creato riutilizzando diversi strumenti open source legittimi, come VirtualApp e XposedBridge, per eseguire i suoi attacchi ingannevoli ed eludere il rilevamento.

Sebbene GodFather utilizzi la sua virtualizzazione avanzata, continua a utilizzare anche i tradizionali attacchi overlay, posizionando schermate ingannevoli direttamente sulle applicazioni legittime. Questo duplice approccio dimostra la notevole capacità degli autori della minaccia di adattare i propri metodi.

Secondo il post sul blog dell'azienda, la campagna malware GodFather per Android è molto diffusa e ha preso di mira 484 applicazioni a livello globale, sebbene l'attacco di virtualizzazione altamente avanzato si stia attualmente concentrando su 12 specifici istituti finanziari turchi. Questa ampia portata include non solo piattaforme bancarie e di criptovaluta, ma anche importanti servizi globali per pagamenti, e-commerce, social media e comunicazione.

Il malware utilizza anche trucchi intelligenti per evitare di essere rilevato dagli strumenti di sicurezza. Modifica il modo in cui vengono creati i file APK (pacchetti delle app Android), alterandone la struttura per farli sembrare crittografati o aggiungendo informazioni fuorvianti come $JADXBLOCK . Inoltre, sposta gran parte del codice dannoso nella parte Java dell'app e rende il file manifest Android più difficile da leggere con informazioni irrilevanti.

Ulteriori indagini hanno rivelato che GodFather utilizza ancora i servizi di accessibilità di Android (progettati per aiutare gli utenti con disabilità) per indurre gli utenti a installare parti nascoste della sua applicazione. Utilizza messaggi ingannevoli come "È necessaria l'autorizzazione per utilizzare tutte le funzionalità dell'applicazione" e, una volta ottenute le autorizzazioni di accessibilità, può concedersene altre segretamente all'insaputa dell'utente.

Inoltre, il malware nasconde le sue informazioni importanti, come la posizione in cui si connette al suo server di controllo (C2), in forma codificata, rendendole più difficili da tracciare. Una volta attivo, invia dettagli dello schermo agli aggressori, fornendo loro una visione in tempo reale del dispositivo. Questa scoperta, quindi, evidenzia la sfida continua per la sicurezza mobile, poiché le minacce diventano sempre più complesse e difficili da individuare.

" Si tratta sicuramente di una tecnica innovativa e ne vedo il potenziale " , ha affermato Casey Ellis , fondatore di Bugcrowd. " Sarà interessante vedere quanto sia efficace in circolazione, se gli autori delle minacce decideranno o meno di implementarla al di fuori della Turchia e se altri autori delle minacce tenteranno di replicare un approccio simile " .