MADRID, 20 Jun. (CIBERPRO) –
Expertos en ciberseguridad han descubierto una nueva versión del ‘malware’ bancario Godfather, que ahora tiene la capacidad de crear instancias virtuales para controlar y monitorear aplicaciones bancarias legítimas en ‘smartphones’ Android, facilitando el robo de credenciales de acceso.
El ‘malware’ Godfather, que significa El Padrino, fue presentado al público en diciembre de 2022, siendo clasificado como un troyano bancario -sucesor de otro virus conocido como Anubis- diseñado para robar las credenciales de inicio de sesión de los usuarios en aplicaciones bancarias y otros servicios financieros, incluyendo billeteras de criptomonedas.
En su lanzamiento, Godfather fue empleado como ‘malware as a service’ (MaaS), atacando a más de 400 objetivos, de los cuales 30 eran empresas españolas. Su método de operación consistía en superponer falsificaciones web en dispositivos Android comprometidos, que se activaban al interactuar el usuario con notificaciones engañosas o al abrir aplicaciones bancarias legítimas infectadas.
Recientemente, la empresa de seguridad Zimperium ha detectado una versión mejorada de Godfather, que ha evolucionado su técnica original, incorporando la capacidad de crear instancias virtuales aisladas en los ‘smartphones’, las cuales simulan ser aplicaciones bancarias auténticas para robar las credenciales de acceso de los usuarios.
Los investigadores han indicado en un comunicado en su blog que este sistema opera como si secuestrase la aplicación legítima, lo que representa un ataque mucho más «engañoso y efectivo» que las superposiciones convencionales. Esta nueva versión se distingue por que, en lugar de simular una pantalla de inicio de sesión, reproduce directamente una ‘app’ bancaria legítima instalada en el ‘smartphone’ de la víctima.
Para lograr esto, una vez que el dispositivo ha sido infectado, Godfather instala una aplicación ‘host’ maliciosa que incluye un marco de virtualización, permitiendo la creación y control de un entorno virtual completo y aislado.
Así, tras revisar las aplicaciones en el dispositivo infectado y encontrar una que coincida con su objetivo, el ‘host’ descarga y ejecuta una copia de la aplicación bancaria o de criptomonedas seleccionada dentro del entorno virtual controlado.
Cuando el usuario abre su aplicación bancaria, el ‘malware’ lo redirige a la instancia virtualizada sin que lo note, abriendo realmente la copia de la ‘app’ y monitoreando cada acción, toque o dato ingresado en tiempo real.
De este modo, los actores maliciosos logran obtener información importante de sus víctimas, especialmente las credenciales de acceso a las cuentas bancarias, que incluyen nombres, contraseñas y hasta el código PIN del dispositivo, lo que posibilita el robo total de la cuenta bancaria.
500 APLICACIONES AFECTADAS Y MEJORA EN MANIOBRAS EVASIVAS
Según han podido determinar en Zimperium, esta campaña de Godfather ha impactado a una vasta red, abarcando casi 500 aplicaciones para dispositivos Android a nivel global. Además, los ataques se han dirigido especialmente a una docena de instituciones financieras en Turquía.
Otra de las novedades en esta versión del troyano es que ha logrado mejorar considerablemente la evasión de comprobaciones de seguridad, como la detección de dispositivos rooteados. Esto se debe, según los investigadores, a la manipulación de ZIP y el desplazamiento de código a la capa de Java, lo que permite «eludir las herramientas de análisis estático».
Finalmente, los investigadores han enfatizado la capacidad de este ‘malware’ Godfather para «erosionar la confianza» entre el usuario y sus aplicaciones móviles, «transformando el dispositivo en un entorno no confiable donde incluso las aplicaciones legítimas pueden convertirse en herramientas de espionaje y robo», concluyeron.