Een nieuwe versie van de Android-malware Godfather creëert geïsoleerde virtuele omgevingen op mobiele apparaten om accountgegevens en transacties van legitieme bankapps te stelen.
Deze kwaadaardige apps worden uitgevoerd binnen een gecontroleerde virtuele omgeving op het apparaat. Dit maakt realtime spionage, diefstal van inloggegevens en manipulatie van transacties mogelijk. Dit, terwijl de visuele weergave volledig echt lijkt.
De tactiek lijkt volgens BleepingComputer op die van de FjordPhantom Android-malware eind 2023. Die gebruikte ook virtualisatie om SEA-bankapps uit te voeren binnen containers om detectie te ontwijken.
Godfather richt zich echter op een veel breder scala. Het viseert wereldwijd meer dan 500 apps voor bankieren, cryptovaluta en e-commerce met behulp van een volledig virtueel bestandssysteem, virtueel proces-ID, intent-spoofing en StubActivity.
Volgens Zimperium, dat de malware analyseerde, is het misleidingsniveau zeer hoog. De gebruiker ziet de echte gebruikersinterface van de app, en de Android-beveiliging detecteert de kwaadaardige activiteiten niet. Dat komt doordat alleen de activiteiten van de host-app in het manifest zijn gedeclareerd.
Virtuele gegevensdiefstal
Godfather komt in de vorm van een APK-app met een ingebed virtualisatie-framework. Het maakt gebruik van open-sourcetools zoals de VirtualApp-engine en Xposed voor hooking.
Zodra het actief is op het apparaat, controleert het of er doelapps zijn geïnstalleerd, en als die worden gevonden, plaatst het deze in zijn virtuele omgeving en gebruikt een StubActivity om ze te starten binnen de host-container.
Een StubActivity is een plaatsvervangende activiteit die gedeclareerd is in de app die de virtualisatie-engine (de malware) uitvoert. Het fungeert als een omhulsel of proxy voor het starten en uitvoeren van activiteiten van gevirtualiseerde apps.
De StubActivity bevat geen eigen gebruikersinterface of logica, maar draagt het gedrag over aan de host-app. Android denkt zo dat het een legitieme app uitgevoerd, terwijl deze in werkelijkheid wordt onderschept en gecontroleerd.
Godfather onderschept toestemming
Wanneer het slachtoffer de echte bankapp opent, onderschept Godfather toestemming voor toegankelijkheidsdiensten en leidt die om naar een StubActivity binnen de host-app, die de virtuele versie van de bankapp start binnen de container.
De gebruiker ziet de echte app-interface. Alle gevoelige gegevens echter die tijdens interacties worden ingevoerd, kunnen eenvoudig worden onderschept.
Door Xposed te gebruiken voor API-hooking, kan Godfather accountgegevens, wachtwoorden en pincodes opnemen en reacties van het back-end van de bank vastleggen.
Malware laat nep-vergrendelingsscherm zien
De malware toont een nep-vergrendelscherm-overlay op belangrijke momenten om het slachtoffer te misleiden tot het invoeren van hun pincode of wachtwoord. Zodra alle gegevens zijn verzameld en uitgelekt, wacht het op opdrachten van de operators om het apparaat te ontgrendelen, gebruikersinterfaces te bedienen, apps te openen en betalingen of overboekingen uit te voeren binnen de echte bankapp.
Tijdens dit proces ziet de gebruiker een nep update-scherm. Of juist een zwart scherm om geen argwaan te wekken.
Evoluerende dreiging
Godfather verscheen voor het eerst in de Android-malwarewereld in maart 2021. De malware maakte sindsdien een indrukwekkende evolutionaire ontwikkeling door.
De nieuwste versie van Godfather vormt een aanzienlijke evolutie ten opzichte van het laatste monster dat Group-IB in december 2022 analyseerde. Dat monster richtte zich op 400 apps in 16 landen met HTML-inlogschermoverlays bovenop bank- en crypto-apps.
Hoewel de campagne die Zimperium ontdekte zich alleen richt op een tiental Turkse bankapps, kunnen andere Godfather-operators ervoor kiezen om andere subsets van de 500 doelapps te activeren. En zo andere regio’s aan te vallen.