MADRI 20 jun. (Portaltic/EP) -
Pesquisadores de segurança cibernética identificaram uma versão atualizada do malware bancário Godfather, que agora é capaz de gerar instâncias virtuais para controlar e monitorar cópias de aplicativos bancários legítimos em smartphones Android e roubar credenciais de login.
O malware Godfather foi revelado pela primeira vez em dezembro de 2022, quando foi identificado como um Trojan bancário - um sucessor de outro vírus bancário chamado Anubis - projetado para roubar as credenciais de login dos usuários para aplicativos bancários e outros serviços financeiros, como carteiras de criptomoedas.
Na época, o Godfather foi usado como "malware como serviço" (MaaS) para atacar mais de 400 alvos, incluindo 30 empresas espanholas. Além disso, seu modus operandi era sobrepor spoofs da Web em dispositivos Android infectados, que apareciam quando um usuário interagia com uma notificação falsa ou tentava abrir um dos aplicativos bancários legítimos infectados por esse cavalo de Troia.
Agora, a empresa de segurança Zimperium identificou uma versão atualizada do Godfather na qual ele evoluiu sua técnica inicial, adicionando a capacidade de gerar instâncias virtuais isoladas em smartphones que fingem ser um aplicativo bancário real para roubar as credenciais de login bancário dos usuários.
Como os pesquisadores explicaram em uma publicação no blog, esse sistema age como se sequestrasse o aplicativo real e, portanto, é uma forma de ataque muito mais "enganosa e eficaz" do que as sobreposições tradicionais. Especificamente, essa nova versão difere porque, em vez de imitar uma tela de login, ela imita diretamente um aplicativo bancário real baixado no smartphone da vítima.
Para isso, quando o dispositivo é infectado, o Godfather instala um aplicativo host malicioso que contém uma estrutura de virtualização, ou seja, ele pode criar e controlar um ambiente virtual completo e isolado.
Assim, após verificar os aplicativos instalados no dispositivo infectado e encontrar um que corresponda ao seu alvo, o host baixa e executa uma cópia do aplicativo bancário ou de criptomoeda escolhido dentro do ambiente virtual controlado.
Por fim, quando o usuário inicia o aplicativo bancário, o malware o redireciona para a instância virtualizada sem que ele perceba, abrindo de fato a cópia do aplicativo e monitorando cada ação, toque ou entrada em tempo real.
Dessa forma, os agentes mal-intencionados conseguem obter vários dados relevantes de suas vítimas, principalmente credenciais de login de contas bancárias, incluindo nomes e senhas, até o código PIN do dispositivo, permitindo o roubo total da conta bancária.
500 APLICATIVOS AFETADOS E MANOBRAS DO EVASIBAS APERFEIÇOADAS
De acordo com a Zimperium, essa campanha Godfather afetou uma ampla rede, incluindo quase 500 aplicativos Android em todo o mundo. Além disso, os ataques também visaram uma dúzia de instituições financeiras turcas em particular.
Outra diferença identificada nessa nova versão do Trojan é que a evasão de verificações de segurança, como a detecção de raiz, foi efetivamente aprimorada. Isso se deve, explicaram os pesquisadores de segurança cibernética, ao uso de manipulação de ZIP e movimentação de código para a camada Java, que "contorna as ferramentas de análise estática".
Em suma, os pesquisadores enfatizaram a capacidade do malware Godfather de "corroer a confiança" entre o usuário e seus aplicativos móveis, "transformando o próprio dispositivo em um ambiente não confiável, onde até mesmo aplicativos legítimos podem se tornar ferramentas de espionagem e roubo", disseram eles.
Esta notícia foi traduzida por um tradutor automático