Το Android malware Godfather χρησιμοποιεί τεχνικές virtualization
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το Android malware Godfather χρησιμοποιεί τεχνικές virtualization
https://www.secnews.gr/651545/android-malware-godfather-xrisimopoiei-texnikes-virtualization/
Jun 20th 2025, 10:45
by Digital Fortress
Μια νέα, ιδιαίτερα εξελιγμένη παραλλαγή του Android malware "Godfather" κάνει την εμφάνισή της, εισάγοντας καινοτόμες τακτικές virtualization για την υποκλοπή τραπεζικών και χρηματοοικονομικών δεδομένων. Σύμφωνα με ερευνητές ασφαλείας, η απειλή χρησιμοποιεί εικονικά περιβάλλοντα εντός της συσκευής για να μιμηθεί νόμιμες εφαρμογές τραπεζών και ηλεκτρονικών συναλλαγών, εξαπατώντας τον χρήστη και παρακάμπτοντας τους μηχανισμούς ασφαλείας του Android.
Το κακόβουλο λογισμικό εκτελεί τις επιθέσεις του μέσα από ένα πλήρως ελεγχόμενο εικονικό περιβάλλον, επιτρέποντας παρακολούθηση σε πραγματικό χρόνο, κλοπή διαπιστευτηρίων και τροποποίηση συναλλαγών – όλα αυτά χωρίς να εγείρει υποψίες. Η εμπειρία του χρήστη παραμένει αναλλοίωτη, καθώς παρατηρεί το κανονικό περιβάλλον της εφαρμογής, ενώ στο παρασκήνιο εκτελείται μια εντελώς διαφορετική διεργασία.
Δείτε επίσης: Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
Η τεχνική θυμίζει τις μεθόδους του malware "FjordPhantom", που είχε εντοπιστεί στα τέλη του 2023 και χρησιμοποιούσε, επίσης, virtualization για την εκτέλεση SEA bank apps σε containers. Ωστόσο, το Godfather αποδεικνύεται πολύ πιο φιλόδοξο, στοχεύοντας πάνω από 500 εφαρμογές παγκοσμίως – από τράπεζες και ανταλλακτήρια κρυπτονομισμάτων, μέχρι πλατφόρμες ηλεκτρονικού εμπορίου.
Η υποδομή του βασίζεται σε virtual filesystem, virtual Process ID, intent spoofing και StubActivity. Όπως εξηγεί η εταιρεία Zimperium, που ανέλυσε τη νέα εκδοχή του Godfather, το επίπεδο παραπλάνησης είναι τόσο υψηλό, ώστε το Android δεν αναγνωρίζει τη δραστηριότητα ως επιβλαβή.
Το Godfather διανέμεται ως APK app που περιλαμβάνει ενσωματωμένο virtualization framework, αξιοποιώντας γνωστά open-source εργαλεία όπως το VirtualApp engine και το Xposed. Μετά την εγκατάσταση, εντοπίζει τις εφαρμογές-στόχους, τις "μεταφέρει" σε virtual περιβάλλον και χρησιμοποιεί ένα StubActivity για να το εκκινήσει μέσα στο host container.
Το StubActivity λειτουργεί ως shell ή proxy που επιτρέπει την εκκίνηση και εκτέλεση δραστηριοτήτων από virtualized εφαρμογές. Δεν διαθέτει δικό του UI · αντιθέτως, λειτουργεί ως διαμεσολαβητής, ξεγελώντας το Android ώστε να θεωρεί ότι εκτελείται κανονική εφαρμογή. Στην πραγματικότητα, όμως, η δραστηριότητα αυτή μεταφέρει τον έλεγχο στην κακόβουλη εφαρμογή.
Δείτε επίσης: Ελάττωμα Secure Boot επιτρέπει εγκατάσταση bootkit malware
Όταν ο ανυποψίαστος χρήστης ανοίξει μια τραπεζική εφαρμογή, το Godfather malware – εκμεταλλευόμενο την άδεια προσβασιμότητας – ανακατευθύνει τη διαδικασία στο StubActivity μέσα στο host app. Εκεί, εκκινείται μια εικονική εκδοχή της εφαρμογής εντός ενός container, παραμένοντας αόρατη στο σύστημα.
Αν και ο χρήστης βλέπει το αυθεντικό interface, οι ενέργειές του – από την εισαγωγή στοιχείων σύνδεσης έως την ολοκλήρωση συναλλαγών – καταγράφονται σε πραγματικό χρόνο. Με τη βοήθεια του εργαλείου Xposed, που αναφέραμε παραπάνω, το Godfather καταγράφει account credentials, passwords, PINs.
Μάλιστα, για να αποσπάσει ακόμη περισσότερες πληροφορίες, το malware επιστρατεύει τεχνικές κοινωνικής μηχανικής: εμφανίζει ψεύτικες οθόνες κλειδώματος σε κρίσιμες στιγμές, παραπλανώντας τον χρήστη να πληκτρολογήσει ξανά ευαίσθητα δεδομένα. Μόλις συλλέξει και εξαγάγει όλα αυτά τα δεδομένα, περιμένει εντολές από τους χειριστές για να ξεκλειδώσει τη συσκευή, να εκτελέσει πλοήγηση στο UI, να ανοίξει εφαρμογές και να ενεργοποιήσει πληρωμές/μεταφορές από την πραγματική τραπεζική εφαρμογή.
Κατά τη διάρκεια αυτής της διαδικασίας, ο χρήστης βλέπει μια ψεύτικη οθόνη "ενημέρωσης" ή μια μαύρη οθόνη και έτσι δεν καταλαβαίνει την κακόβουλη δραστηριότητα.
Μια απειλή που εξελίσσεται διαρκώς
Η πρώτη εμφάνιση του Godfather καταγράφηκε τον Μάρτιο του 2021 από την ThreatFabric και από τότε έχει παρουσιάσει αξιοσημείωτη τεχνολογική εξέλιξη. Η τελευταία εκδοχή ξεπερνά κατά πολύ το δείγμα του Δεκεμβρίου 2022 που είχε αναλυθεί από την Group-IB και το οποίο στόχευε 400 εφαρμογές σε 16 χώρες.
Η νέα καμπάνια, όπως εντοπίστηκε από τη Zimperium, επικεντρώνεται αυτή τη στιγμή σε 12 τραπεζικές εφαρμογές στην Τουρκία. Ωστόσο, το κακόβουλο λογισμικό υποστηρίζει επιθέσεις σε περισσότερες από 500 εφαρμογές παγκοσμίως – περιλαμβάνοντας τράπεζες, ανταλλακτήρια κρυπτονομισμάτων και πλατφόρμες ηλεκτρονικού εμπορίου. Κάθε παραλλαγή του Godfather μπορεί να ενεργοποιήσει διαφορετικά «πακέτα στόχων», ανάλογα με την περιοχή ή τον πάροχο της κακόβουλης υπηρεσίας.
Δείτε επίσης: Ευπάθεια του DanaBot Malware server αποκαλύπτει στοιχεία hacker
Πώς να προστατευτείτε
Για την αποφυγή τέτοιου είδους επιθέσεων, οι ειδικοί συνιστούν να κατεβάζετε εφαρμογές μόνο από το Google Play και άλλα αξιόπιστα app stores. Ωστόσο, ορισμένες κακόβουλες εφαρμογές καταφέρνουν να περάσουν και εκεί. Γι' αυτό το λόγο, πρέπει να επιβεβαιώνετε πάντα την αυθεντικότητα μια εφαρμογής πριν την εγκατάσταση. Αυτό μπορεί να γίνει ελέγχοντας τον προγραμματιστή της εφαρμογής και τα σχόλια των χρηστών. Μπορείτε ακόμα να επισκεφτείτε τον επίσημο ιστότοπο μιας υπηρεσίας και να βρείτε εκεί το link για τη λήψη της εφαρμογής από το κατάστημα εφαρμογών.
Αποφύγετε APKs από άγνωστες πηγές και διατηρήστε το Play Protect ενεργό.
Επίσης, είναι σημαντικό να γίνεται έλεγχος των αδειών που ζητούν οι εφαρμογές, ακόμα και αν βρίσκονται στο Google Play. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζονται για τη λειτουργία της, είναι καλύτερο να αποφύγετε την εγκατάστασή της.
Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Τέλος, πρέπει να αποφεύγετε την κοινοποίηση των προσωπικών σας πληροφοριών σε αναξιόπιστες πηγές.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το Android malware Godfather χρησιμοποιεί τεχνικές virtualization
https://www.secnews.gr/651545/android-malware-godfather-xrisimopoiei-texnikes-virtualization/
Jun 20th 2025, 10:45
by Digital Fortress
Μια νέα, ιδιαίτερα εξελιγμένη παραλλαγή του Android malware "Godfather" κάνει την εμφάνισή της, εισάγοντας καινοτόμες τακτικές virtualization για την υποκλοπή τραπεζικών και χρηματοοικονομικών δεδομένων. Σύμφωνα με ερευνητές ασφαλείας, η απειλή χρησιμοποιεί εικονικά περιβάλλοντα εντός της συσκευής για να μιμηθεί νόμιμες εφαρμογές τραπεζών και ηλεκτρονικών συναλλαγών, εξαπατώντας τον χρήστη και παρακάμπτοντας τους μηχανισμούς ασφαλείας του Android.
Το κακόβουλο λογισμικό εκτελεί τις επιθέσεις του μέσα από ένα πλήρως ελεγχόμενο εικονικό περιβάλλον, επιτρέποντας παρακολούθηση σε πραγματικό χρόνο, κλοπή διαπιστευτηρίων και τροποποίηση συναλλαγών – όλα αυτά χωρίς να εγείρει υποψίες. Η εμπειρία του χρήστη παραμένει αναλλοίωτη, καθώς παρατηρεί το κανονικό περιβάλλον της εφαρμογής, ενώ στο παρασκήνιο εκτελείται μια εντελώς διαφορετική διεργασία.
Δείτε επίσης: Η BlueNoroff διανέμει MacOS malware μέσω deepfake βίντεο σε Zoom meetings
Η τεχνική θυμίζει τις μεθόδους του malware "FjordPhantom", που είχε εντοπιστεί στα τέλη του 2023 και χρησιμοποιούσε, επίσης, virtualization για την εκτέλεση SEA bank apps σε containers. Ωστόσο, το Godfather αποδεικνύεται πολύ πιο φιλόδοξο, στοχεύοντας πάνω από 500 εφαρμογές παγκοσμίως – από τράπεζες και ανταλλακτήρια κρυπτονομισμάτων, μέχρι πλατφόρμες ηλεκτρονικού εμπορίου.
Η υποδομή του βασίζεται σε virtual filesystem, virtual Process ID, intent spoofing και StubActivity. Όπως εξηγεί η εταιρεία Zimperium, που ανέλυσε τη νέα εκδοχή του Godfather, το επίπεδο παραπλάνησης είναι τόσο υψηλό, ώστε το Android δεν αναγνωρίζει τη δραστηριότητα ως επιβλαβή.
Το Godfather διανέμεται ως APK app που περιλαμβάνει ενσωματωμένο virtualization framework, αξιοποιώντας γνωστά open-source εργαλεία όπως το VirtualApp engine και το Xposed. Μετά την εγκατάσταση, εντοπίζει τις εφαρμογές-στόχους, τις "μεταφέρει" σε virtual περιβάλλον και χρησιμοποιεί ένα StubActivity για να το εκκινήσει μέσα στο host container.
Το StubActivity λειτουργεί ως shell ή proxy που επιτρέπει την εκκίνηση και εκτέλεση δραστηριοτήτων από virtualized εφαρμογές. Δεν διαθέτει δικό του UI · αντιθέτως, λειτουργεί ως διαμεσολαβητής, ξεγελώντας το Android ώστε να θεωρεί ότι εκτελείται κανονική εφαρμογή. Στην πραγματικότητα, όμως, η δραστηριότητα αυτή μεταφέρει τον έλεγχο στην κακόβουλη εφαρμογή.
Δείτε επίσης: Ελάττωμα Secure Boot επιτρέπει εγκατάσταση bootkit malware
Όταν ο ανυποψίαστος χρήστης ανοίξει μια τραπεζική εφαρμογή, το Godfather malware – εκμεταλλευόμενο την άδεια προσβασιμότητας – ανακατευθύνει τη διαδικασία στο StubActivity μέσα στο host app. Εκεί, εκκινείται μια εικονική εκδοχή της εφαρμογής εντός ενός container, παραμένοντας αόρατη στο σύστημα.
Αν και ο χρήστης βλέπει το αυθεντικό interface, οι ενέργειές του – από την εισαγωγή στοιχείων σύνδεσης έως την ολοκλήρωση συναλλαγών – καταγράφονται σε πραγματικό χρόνο. Με τη βοήθεια του εργαλείου Xposed, που αναφέραμε παραπάνω, το Godfather καταγράφει account credentials, passwords, PINs.
Μάλιστα, για να αποσπάσει ακόμη περισσότερες πληροφορίες, το malware επιστρατεύει τεχνικές κοινωνικής μηχανικής: εμφανίζει ψεύτικες οθόνες κλειδώματος σε κρίσιμες στιγμές, παραπλανώντας τον χρήστη να πληκτρολογήσει ξανά ευαίσθητα δεδομένα. Μόλις συλλέξει και εξαγάγει όλα αυτά τα δεδομένα, περιμένει εντολές από τους χειριστές για να ξεκλειδώσει τη συσκευή, να εκτελέσει πλοήγηση στο UI, να ανοίξει εφαρμογές και να ενεργοποιήσει πληρωμές/μεταφορές από την πραγματική τραπεζική εφαρμογή.
Κατά τη διάρκεια αυτής της διαδικασίας, ο χρήστης βλέπει μια ψεύτικη οθόνη "ενημέρωσης" ή μια μαύρη οθόνη και έτσι δεν καταλαβαίνει την κακόβουλη δραστηριότητα.
Μια απειλή που εξελίσσεται διαρκώς
Η πρώτη εμφάνιση του Godfather καταγράφηκε τον Μάρτιο του 2021 από την ThreatFabric και από τότε έχει παρουσιάσει αξιοσημείωτη τεχνολογική εξέλιξη. Η τελευταία εκδοχή ξεπερνά κατά πολύ το δείγμα του Δεκεμβρίου 2022 που είχε αναλυθεί από την Group-IB και το οποίο στόχευε 400 εφαρμογές σε 16 χώρες.
Η νέα καμπάνια, όπως εντοπίστηκε από τη Zimperium, επικεντρώνεται αυτή τη στιγμή σε 12 τραπεζικές εφαρμογές στην Τουρκία. Ωστόσο, το κακόβουλο λογισμικό υποστηρίζει επιθέσεις σε περισσότερες από 500 εφαρμογές παγκοσμίως – περιλαμβάνοντας τράπεζες, ανταλλακτήρια κρυπτονομισμάτων και πλατφόρμες ηλεκτρονικού εμπορίου. Κάθε παραλλαγή του Godfather μπορεί να ενεργοποιήσει διαφορετικά «πακέτα στόχων», ανάλογα με την περιοχή ή τον πάροχο της κακόβουλης υπηρεσίας.
Δείτε επίσης: Ευπάθεια του DanaBot Malware server αποκαλύπτει στοιχεία hacker
Πώς να προστατευτείτε
Για την αποφυγή τέτοιου είδους επιθέσεων, οι ειδικοί συνιστούν να κατεβάζετε εφαρμογές μόνο από το Google Play και άλλα αξιόπιστα app stores. Ωστόσο, ορισμένες κακόβουλες εφαρμογές καταφέρνουν να περάσουν και εκεί. Γι' αυτό το λόγο, πρέπει να επιβεβαιώνετε πάντα την αυθεντικότητα μια εφαρμογής πριν την εγκατάσταση. Αυτό μπορεί να γίνει ελέγχοντας τον προγραμματιστή της εφαρμογής και τα σχόλια των χρηστών. Μπορείτε ακόμα να επισκεφτείτε τον επίσημο ιστότοπο μιας υπηρεσίας και να βρείτε εκεί το link για τη λήψη της εφαρμογής από το κατάστημα εφαρμογών.
Αποφύγετε APKs από άγνωστες πηγές και διατηρήστε το Play Protect ενεργό.
Επίσης, είναι σημαντικό να γίνεται έλεγχος των αδειών που ζητούν οι εφαρμογές, ακόμα και αν βρίσκονται στο Google Play. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζονται για τη λειτουργία της, είναι καλύτερο να αποφύγετε την εγκατάστασή της.
Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Τέλος, πρέπει να αποφεύγετε την κοινοποίηση των προσωπικών σας πληροφοριών σε αναξιόπιστες πηγές.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz