Investigadores de ciberseguridad han identificado una versión actualizada del 'malware' bancario Godfather, que ahora es capaz de generar instancias virtuales para controlar y monitorizar copias de aplicaciones bancarias legítimas en 'smartphones' Android y robar las credenciales de acceso.
El 'malware' Godfather (que se traduce como El Padrino) se dio a conocer inicialmente en diciembre del año 2022, cuando se identificó como un troyano bancario -sucesor de otro virus bancario llamado Anubis- diseñado para robar las credenciales de inicio de sesión de los usuarios en aplicaciones bancarias y otros servicios financieros como billeteras de criptomonedas.
En ese momento, Godfather se utilizó como 'malware as a service' (MaaS) para atacar a más de 400 objetivos, entre ellos, 30 empresas españolas. Asimismo, su modus operandi era el de superponer falsificaciones web en dispositivos Android infectados, que aparecían cuando un usuario interactuaba con una notificación de señuelo o bien intentaba abrir una de las aplicaciones legítimas bancarias infectadas por este troyano.
Ahora, la firma de seguridad Zimperium ha identificado una versión actualizada de Godfather en la que ha evolucionado su técnica inicial, agregando la capacidad de generar instancias virtuales aisladas en los 'smartphones', que simulan ser una aplicación bancaria verdadera para igualmente robar las credenciales de acceso al banco de los usuarios.
Tal y como han explicado los investigadores en un comunicado en su blog, este sistema actúa como si secuestrase la aplicación real y, por tanto, es una forma de ataque mucho más "engañosa y eficaz" que las superposiciones tradicionales. Concretamente, esta nueva versión se diferencia en que, en lugar de imitar una pantalla de inicio de sesión, imita directamente una 'app' bancaria real que esté descargada en el 'smartphone' de la víctima.
Para ello, una vez infectado el dispositivo, Godfather instala una aplicación 'host' maliciosa que contiene un marco de virtualización, es decir, que puede crear y controlar un entorno virtual completo y aislado.
Así, tras analizar las aplicaciones instaladas en el dispositivo infectado y encontrar una que concuerde con su objetivo, el 'host' descarga y ejecuta una copia de la aplicación bancaria o de criptomonedas escogida, dentro del entorno virtual controlado.
Finalmente, cuando el usuario inicia su aplicación bancaria, el 'malware' le redirige a la instancia virtualizada sin que se dé cuenta, abriendo en realidad la copia de la 'app' y monitorizando cada acción, toque o dato introducido en tiempo real.
De esta manera, los actores maliciosos son capaces de obtener múltiples datos relevantes de sus víctimas, principalmente las credenciales de acceso a las cuentas bancarias, incluidos los nombres y contraseñas, hasta el código PIN del dispositivo, lo que permite el robo total de la cuenta bancaria.
500 APLICACIONES AFECTADAS Y PERFECCIONAMIENTO DE MANIOBRAS EVASIBAS
Según han podido comprobar desde Zimperium, esta campaña de Godfather ha afectado a una amplia red, incluyendo casi 500 aplicaciones para dispositivos Android a nivel mundial. Además, los ataques también se han enfocado especialmente en una docena de instituciones financieras turcas.
Otra de las diferencias identificadas en esta nueva versión del troyano es que se ha conseguido mejorar eficazmente la evasión de las comprobaciones de seguridad, como la detección de root. Esto se debe, según han explicado los investigadores de ciberseguridad, a que se utiliza la manipulación de ZIP y el desplazamiento de código a la capa de Java, lo que consigue "burlar las herramientas de análisis estático".
Con todo, los investigadores han subrayado la capacidad de este 'malware' Godfather de "erosionar la confianza" entre el usuario y sus aplicaciones móviles, "convirtiendo el propio dispositivo en un entorno no confiable donde incluso las aplicaciones legítimas pueden convertirse en herramientas de espionaje y robo", ha sentenciado.
