Muitas vezes fala-se da virtualização como técnica que promove o aumento da segurança, mas desta vez temos um caso que tira partido dessas capacidades para fins nefastos. Uma nova e mais sofisticada versão do malware Godfather para Android está a utilizar técnicas de virtualização para espiar, roubar dados, e manipular transacções em apps bancárias legítimas. Esta abordagem permite que o malware crie ambientes isolados dentro do próprio dispositivo, enganando o utilizador com a interface real da app enquanto executa operações maliciosas em segundo plano, mais difíceis de detectar pelas ferramentas de segurança do sistema.
Este método lembra o ataque do malware FjordPhantom em 2023, mas o Godfather tem um alcance muito maior: consegue atacar mais de 500 apps de bancos, criptomoedas e lojas online. Através de técnicas como virtualização completa de sistema de ficheiros, e disfarçando as suas capacidades e intenções, o malware contorna facilmente as protecções do Android, fazendo-se passar por uma app legítima.
O Godfather instala-se como uma APK que inclui ferramentas open-source como VirtualApp e Xposed para criar e controlar este ambiente virtual. Ao detectar uma app bancária no dispositivo, encapsula-a no seu ambiente virtual e inicia-a, fazendo com que possa ver tudo o que o utilizador faz, incluindo inserir credenciais, PINs ou autorizar transferências.
Para disfarçar estas acções, o Godfather mostra ecrãs falsos, como um "update" ou uma tela preta, enquanto rouba os dados e executa comandos enviados pelos atacantes. Apesar de a amostra detectada visar apps bancárias turcas, suspeita-se que será apenas uma questão de tempo até que o malware comece a ser utilizado noutras regiões. Como sempre, uma das formas de evitar grande parte destes riscos passa por não se instalar apps de fora da Play Store, e estar atento às permissões concedidas.
Sem comentários:
Enviar um comentário (problemas a comentar?)