Una nueva versión del malware para Android «Godfather» crea entornos virtuales aislados en dispositivos móviles para robar datos de cuentas y transacciones de aplicaciones bancarias legítimas.
Estas aplicaciones maliciosas se ejecutan dentro de un entorno virtual controlado en el dispositivo, lo que permite el espionaje en tiempo real, el robo de credenciales y la manipulación de transacciones, al tiempo que mantiene un engaño visual perfecto.
La táctica se asemeja a la que se vio en el malware FjordPhantom para Android a finales de 2023, que también utilizó la virtualización para ejecutar aplicaciones bancarias SEA dentro de contenedores para evadir la detección. Sin embargo, el alcance de la segmentación de Godfather es mucho más amplio, ya que se dirige a más de 500 aplicaciones bancarias, de criptomonedas y de comercio electrónico en todo el mundo utilizando un sistema de archivos virtual completo, un ID de proceso virtual, la suplantación de intenciones y StubActivity.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Godfather viene en forma de una aplicación APK que contiene un marco de virtualización integrado, aprovechando herramientas de código abierto como el motor VirtualApp y Xposed para realizar hooking (interceptación de funciones). Una vez activo en el dispositivo, comprueba si hay aplicaciones de destino instaladas y, si las encuentra, las coloca dentro de su entorno virtual y usa un StubActivity para iniciarlas dentro del contenedor del host.
Un StubActivity es una actividad de marcador de posición declarada en la app que ejecuta el motor de virtualización (el malware) que actúa como shell o proxy para iniciar y ejecutar actividades desde aplicaciones virtualizadas.
No contiene su propia interfaz de usuario o lógica y, en cambio, delega el comportamiento a la aplicación host, engañando a Android para que piense que se está ejecutando una aplicación legítima.
