Το Android trojan GodFather χρησιμοποιεί την εικονικοποίηση για να υποκλέψει τραπεζικές και crypto εφαρμογές, κλέβοντας χρήματα των χρηστών, προειδοποιεί η εταιρεία ασφάλειας κινητών συσκευών Zimperium . Η Zimperium zLabs ανακάλυψε μια σημαντική εξέλιξη του trojan GodFather Android, το οποίο χρησιμοποιεί την εικονικοποίηση στη συσκευή για να υποκλέψει πραγματικές τραπεζικές και crypto εφαρμογές . Αντί να χρησιμοποιεί ψεύτικες επικαλύψεις, το κακόβουλο λογισμικό δημιουργεί ένα sandbox στη συσκευή του θύματος, εκτελεί πραγματικές εφαρμογές μέσα σε αυτό και υποκλέπτει την εισαγωγή δεδομένων από τον χρήστη σε πραγματικό χρόνο . Αυτή η τεχνική επιτρέπει την πλήρη ανάληψη λογαριασμών και παρακάμπτει τα χαρακτηριστικά ασφαλείας .
Η τρέχουσα εκστρατεία στοχεύει τουρκικές τράπεζες και δείχνει ένα σοβαρό άλμα στις τακτικές κακόβουλου λογισμικού για κινητά . Τα πιο πρόσφατα δείγματα κακόβουλου λογισμικού GodFather Android χρησιμοποιούν χειραγώγηση ZIP και obfuscation για να αποφύγουν τη στατική ανάλυση . Οι δράστες απειλών παραβιάζουν τη δομή APK ZIP και το Android Manifest, προσθέτοντας σημαίες και πεδία όπως «$JADXBLOCK» για να παραπλανήσουν τα εργαλεία . Το κακόβουλο λογισμικό κρύβει το payload του στον φάκελο assets και χρησιμοποιεί εγκατάσταση βάσει περιόδου σύνδεσης για να παρακάμψει τους περιορισμούς . Εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας για να παρακολουθεί την εισαγωγή δεδομένων από τον χρήστη, να παραχωρεί αυτόματα δικαιώματα και να εξάγει δεδομένα σε έναν διακομιστή C2 μέσω URL κωδικοποιημένων σε Base64 .
Το κακόβουλο λογισμικό GodFather χρησιμοποιεί νόμιμα εργαλεία ανοιχτού κώδικα όπως τα Virtualapp και Xposed για να εκτελέσει επιθέσεις overlay . Εικονικοποιεί εφαρμογές μέσα σε ένα host container, όχι απευθείας στο Android OS . Οι φιλοξενούμενες εφαρμογές εκτελούνται σε ένα sandboxed σύστημα αρχείων που διαχειρίζεται ο host, με τη διαδικασία com.heb.reb:va_core να τις εκτελεί . Αυτή η ρύθμιση επιτρέπει στο κακόβουλο λογισμικό να συνδέει API, να κλέβει δεδομένα και να παραμένει κρυφό, διασφαλίζοντας ότι οι κακόβουλες λειτουργίες του εκτελούνται χωρίς να εντοπιστούν σε ένα ελεγχόμενο περιβάλλον . Το κακόβουλο λογισμικό GodFather χρησιμοποιεί ένα έξυπνο τέχνασμα εικονικοποίησης για να υποκλέψει τραπεζικές εφαρμογές σε συσκευές Android . Πρώτα, σαρώνει το τηλέφωνο του θύματος για συγκεκριμένες τραπεζικές εφαρμογές . Εάν βρει οποιαδήποτε, κατεβάζει και εγκαθιστά στοιχεία του Google Play σε έναν κρυφό εικονικό χώρο που ελέγχει . Στη συνέχεια, δημιουργεί ένα ψεύτικο περιβάλλον όπου μπορεί να εκτελέσει κρυφά αυτές τις πραγματικές τραπεζικές εφαρμογές . Αντιγράφει βασικά δεδομένα από τις νόμιμες εφαρμογές, όπως ονόματα πακέτων .
Το GodFather δημιουργεί ένα εικονικό κλώνο της τραπεζικής σας εφαρμογής για να κλέψει τις πληροφορίες σας χωρίς να το καταλάβετε . Αυτή η τεχνική εικονικοποίησης παρέχει στους επιτιθέμενους πολλά κρίσιμα πλεονεκτήματα έναντι κακόβουλου λογισμικού που έχει παρατηρηθεί στο παρελθόν . Εκτελώντας τη νόμιμη εφαρμογή μέσα σε ένα ελεγχόμενο περιβάλλον, οι επιτιθέμενοι αποκτούν πλήρη ορατότητα στις διαδικασίες της εφαρμογής, επιτρέποντάς τους να υποκλέψουν διαπιστευτήρια και ευαίσθητα δεδομένα σε πραγματικό χρόνο . Το κακόβουλο λογισμικό μπορεί να ελεγχθεί εξ αποστάσεως και επίσης να χρησιμοποιήσει hooking frameworks για να τροποποιήσει τη συμπεριφορά της εικονικοποιημένης εφαρμογής, παρακάμπτοντας αποτελεσματικά τους ελέγχους ασφαλείας, όπως η ανίχνευση root .
Μια εξελιγμένη εξέλιξη του τραπεζικού κακόβουλου λογισμικού GodFather παρατηρήθηκε να στοχεύει 12 τουρκικές τράπεζες και να σαρώνει σχεδόν 500 εφαρμογές παγκοσμίως, συμπεριλαμβανομένων crypto πορτοφολιών και οικονομικών πλατφορμών . Ο πραγματικός κίνδυνος εδώ: το κακόβουλο λογισμικό αξιοποιεί μια προηγμένη τεχνική «Εικονικοποίηση ως Όπλο» στη συσκευή που υποκλέπτει πολλές νόμιμες εφαρμογές με σκοπό να αποκτήσει τον πλήρη έλεγχο μιας κινητής συσκευής . Σε ένα blog στις 18 Ιουνίου, οι ερευνητές της Zimperium δήλωσαν ότι το κακόβουλο λογισμικό GodFather μπορεί πλέον να δημιουργήσει ένα πλήρες, απομονωμένο εικονικό περιβάλλον στην κινητή συσκευή ενός θύματος . Αντί να μιμείται μια οθόνη σύνδεσης, το κακόβουλο λογισμικό εγκαθιστά έναν κακόβουλο «host» που περιέχει ένα εικονικοποιημένο framework, εξηγούν οι ερευνητές . Στη συνέχεια, ο host κατεβάζει και εκτελεί ένα αντίγραφο της πραγματικής στοχευμένης τραπεζικής ή crypto εφαρμογής μέσα σε ένα κρυφό sandbox, μια τεχνική που παρέχει πλήρη έλεγχο και επιτήρηση – χωρίς ποτέ να εγκαταστήσει τις εφαρμογές στο σύστημα .