El malware GodFather para Android ejecuta aplicaciones reales en un entorno sandbox para robar datos

Investigadores de ciberseguridad de Zimperium zLabs, dirigidos por Fernando Ortega y Vishnu Pratapagiri, han descubierto una nueva y peligrosa versión del malware GodFather para Android que utiliza una técnica avanzada llamada virtualización en el dispositivo para controlar aplicaciones móviles legítimas. Se centra especialmente en aplicaciones bancarias y de criptomonedas, convirtiendo el dispositivo en un espía.

En lugar de mostrar una imagen falsa, el malware instala una aplicación host oculta que descarga y ejecuta una copia real de tu aplicación bancaria o de criptomonedas dentro de su propio espacio controlado, un sandbox. Al intentar abrir la aplicación, el malware te redirige a esta versión virtual.

El malware monitorea y controla cada acción, toque y palabra que escribes en tiempo real, lo que hace casi imposible que notes algo incorrecto, ya que estás interactuando con la aplicación real, pero en un entorno manipulado. Esta sofisticada técnica permite a los atacantes obtener nombres de usuario, contraseñas y PIN de dispositivos, obteniendo así el control total de tus cuentas.

Este método ofrece a los atacantes una gran ventaja. Pueden robar datos confidenciales al introducirlos e incluso modificar el funcionamiento de la aplicación, eludiendo los controles de seguridad, incluidos los que detectan el rooteo de un teléfono. Cabe destacar que el malware bancario GodFather se crea readaptando varias herramientas legítimas de código abierto, como VirtualApp y XposedBridge, para ejecutar sus ataques engañosos y evadir la detección.

Si bien GodFather emplea su virtualización avanzada, también continúa utilizando ataques de superposición tradicionales, colocando pantallas engañosas directamente sobre aplicaciones legítimas. Este doble enfoque demuestra la notable capacidad de los actores de amenazas para adaptar sus métodos.

Según la publicación del blog de la compañía, la campaña de malware GodFather para Android está muy extendida y ataca a 484 aplicaciones a nivel mundial. Sin embargo, el ataque de virtualización altamente avanzado se centra actualmente en 12 instituciones financieras turcas específicas. Este amplio alcance abarca no solo plataformas bancarias y de criptomonedas, sino también importantes servicios globales de pagos, comercio electrónico, redes sociales y comunicación.

El malware también utiliza trucos ingeniosos para evitar ser detectado por las herramientas de seguridad. Modifica la estructura de los archivos APK (paquetes de aplicaciones de Android), alterando su estructura para que parezcan cifrados o añadiendo información engañosa como $JADXBLOCK . Además, traslada gran parte de su código dañino a la parte Java de la aplicación y dificulta la lectura del archivo de manifiesto de Android con información irrelevante.

Investigaciones posteriores revelaron que GodFather aún utiliza los servicios de accesibilidad de Android (diseñados para ayudar a usuarios con discapacidades) para engañarlos y que instalen partes ocultas de su aplicación. Utiliza mensajes engañosos como "Necesita permiso para usar todas las funciones de la aplicación" y, una vez que obtiene los permisos de accesibilidad, puede otorgarse más permisos en secreto sin que el usuario lo sepa.

Además, el malware oculta información importante, como su conexión a su servidor de control (C2), de forma cifrada, lo que dificulta su rastreo. Una vez activo, envía detalles de la pantalla a los atacantes, brindándoles una vista en tiempo real del dispositivo. Este descubrimiento, por lo tanto, pone de relieve el desafío constante que enfrenta la seguridad móvil a medida que las amenazas se vuelven más complejas y difíciles de detectar.

“ Esta es sin duda una técnica novedosa y veo su potencial ” , afirmó Casey Ellis , fundador de Bugcrowd. “ Será interesante ver su eficacia en la práctica, independientemente de si los actores de amenazas deciden implementarla fuera de Turquía y si otros actores intentan replicar un enfoque similar ” .