Malware Android GodFather executa aplicativos reais em uma sandbox para roubar dados

Pesquisadores de segurança cibernética do Zimperium zLabs, liderados por Fernando Ortega e Vishnu Pratapagiri, descobriram uma nova versão perigosa do malware GodFather para Android, que utiliza uma técnica avançada chamada virtualização no dispositivo para assumir o controle de aplicativos móveis legítimos. Ela tem como alvo principal aplicativos bancários e de criptomoedas, transformando seu próprio dispositivo em um espião.

Em vez de exibir apenas uma imagem falsa, o malware instala um aplicativo host oculto, que baixa e executa uma cópia real do seu aplicativo bancário ou de criptomoedas em seu próprio espaço controlado, uma sandbox. Ao tentar abrir o aplicativo real, o malware redireciona você para essa versão virtual.

O malware então monitora e controla cada ação, toque e palavra que você digita em tempo real, tornando quase impossível que você perceba qualquer erro, já que está interagindo com o aplicativo real, apenas em um ambiente manipulado. Essa técnica sofisticada permite que invasores obtenham nomes de usuário, senhas e PINs de dispositivos, obtendo controle total das suas contas.

Esse método oferece aos invasores uma enorme vantagem. Eles podem roubar dados confidenciais conforme você os insere e até mesmo alterar o funcionamento do aplicativo, ignorando verificações de segurança, incluindo aquelas que detectam o root no celular. Notavelmente, o malware bancário GodFather foi criado com a reutilização de diversas ferramentas legítimas de código aberto, como VirtualApp e XposedBridge, para executar seus ataques enganosos e evitar a detecção.

Embora o GodFather utilize sua virtualização avançada, ele também continua a usar ataques de sobreposição tradicionais, colocando telas enganosas diretamente sobre aplicativos legítimos. Essa dupla abordagem demonstra a notável capacidade dos agentes de ameaças de adaptar seus métodos.

De acordo com a publicação no blog da empresa, a campanha do malware GodFather para Android é generalizada, tendo como alvo 484 aplicativos em todo o mundo, embora o ataque de virtualização altamente avançado esteja atualmente focado em 12 instituições financeiras turcas específicas. Esse amplo alcance inclui não apenas plataformas bancárias e de criptomoedas, mas também importantes serviços globais de pagamentos, comércio eletrônico, mídias sociais e comunicação.

O malware também usa truques inteligentes para evitar ser encontrado por ferramentas de segurança. Ele altera a forma como os arquivos APK (pacotes de aplicativos Android) são compilados, adulterando sua estrutura para que pareçam criptografados ou adicionando informações enganosas, como $JADXBLOCK . Ele também move grande parte de seu código nocivo para a parte Java do aplicativo e torna seu arquivo de manifesto Android mais difícil de ler com informações irrelevantes.

Investigações posteriores revelaram que o GodFather ainda utiliza os serviços de acessibilidade do Android (projetados para ajudar usuários com deficiência) para induzi-los a instalar partes ocultas do aplicativo. Ele usa mensagens enganosas como "Você precisa de permissão para usar todos os recursos do aplicativo" e, uma vez obtidas as permissões de acessibilidade, pode secretamente conceder a si mesmo mais permissões sem o conhecimento do usuário.

Além disso, o malware oculta informações importantes, como o endereço de conexão com o servidor de controle (C2), de forma codificada, dificultando seu rastreamento. Uma vez ativo, ele envia detalhes da sua tela aos invasores, permitindo que eles visualizem o seu dispositivo em tempo real. Essa descoberta, portanto, destaca o desafio contínuo da segurança móvel, à medida que as ameaças se tornam mais complexas e difíceis de detectar.

“ Esta é definitivamente uma técnica inovadora e consigo ver seu potencial ” , disse Casey Ellis , fundador da Bugcrowd. “ Será interessante ver sua eficácia na prática, se os agentes de ameaças decidirem implantá-la fora da Turquia e se outros agentes de ameaças tentarão replicar uma abordagem semelhante. ”