نسخه جدیدی از بدافزار Godfather در اندروید با ایجاد محیطهای مجازی ایزوله روی دستگاههای موبایل، دادههای حساب و تراکنشها را از اپلیکیشنهای بانکی معتبر سرقت میکند.
جزئیات حمله بدافزار Godfather
این بدافزار اپلیکیشنهای مخرب را در یک محیط مجازی کنترلشده روی دستگاه اجرا میکند، که امکان جاسوسی بلادرنگ، سرقت اطلاعات ورود و دستکاری تراکنشها را با حفظ فریب بصری کامل فراهم میآورد. این تاکتیک مشابه بدافزار FjordPhantom در اواخر سال ۲۰۲۳ است، که از مجازیسازی برای اجرای اپلیکیشنهای بانکی آسیای جنوب شرقی در کانتینرها و فرار از شناسایی استفاده میکرد. با این حال، دامنه هدفگیری Godfather بسیار گستردهتر است و بیش از ۵۰۰ اپلیکیشن بانکی، ارز دیجیتال و تجارت الکترونیک در سراسر جهان را با استفاده از سیستم فایل مجازی کامل، شناسه فرآیند مجازی، جعل قصد (Intent Spoofing) و StubActivity هدف قرار میدهد.
شرکت Zimperium، که این بدافزار را تحلیل کرده، گزارش داده است که سطح فریب آن بسیار بالاست. کاربر رابط کاربری واقعی اپلیکیشن را مشاهده میکند و مکانیزمهای حفاظتی اندروید عملیات مخرب را تشخیص نمیدهند؛ زیرا تنها فعالیتهای اپلیکیشن میزبان در مانیفست اعلام شدهاند.
نحوه عملکرد بدافزار Godfather
بدافزار Godfather بهصورت یک اپلیکیشن APK با فریمورک مجازیسازی داخلی، که از ابزارهای متنباز مانند موتور VirtualApp و Xposed برای هوک کردن استفاده میکند، عرضه میشود. پس از فعالسازی روی دستگاه، بدافزار اپلیکیشنهای هدف نصبشده را بررسی میکند و در صورت یافتن، آنها را در محیط مجازی خود قرار میدهد و از یک StubActivity برای اجرای آنها در کانتینر میزبان استفاده میکند.
StubActivity یک فعالیت جایگزین است که در اپلیکیشن اجراکننده موتور مجازیسازی (بدافزار) تعریف شده و بهعنوان پوسته یا پروکسی برای اجرای فعالیتهای اپلیکیشنهای مجازیشده عمل میکند. این فعالیت هیچ رابط کاربری یا منطق مستقلی ندارد و رفتار را به اپلیکیشن میزبان واگذار میکند، که باعث میشود اندروید تصور کند اپلیکیشن معتبری در حال اجراست، در حالی که بدافزار آن را رهگیری و کنترل میکند.
هنگامی که قربانی اپلیکیشن بانکی واقعی را اجرا میکند، مجوز سرویس دسترسیپذیری Godfather قصد (Intent) را رهگیری کرده و به یک StubActivity در اپلیکیشن میزبان هدایت میکند، که نسخه مجازی اپلیکیشن بانکی را در کانتینر اجرا میکند. کاربر رابط کاربری واقعی را میبیند؛ اما تمام دادههای حساس تعاملاتش بهراحتی قابل سرقت است.
بدافزار با استفاده از Xposed برای هوک کردن APIها، اطلاعات ورود به حساب، رمزهای عبور، پینها، رویدادهای لمسی و پاسخهای سرور بانکی را ضبط میکند.
همچنین، در لحظات کلیدی، یک صفحه قفل جعلی نمایش میدهد تا قربانی را به وارد کردن پین یا رمز عبور خود ترغیب کند. پس از جمعآوری و ارسال دادهها، بدافزار منتظر دستورات اپراتورها میماند تا دستگاه را باز کند، در رابط کاربری جابجا شود، اپلیکیشنها را باز کند و پرداختها یا انتقالهایی را از داخل اپلیکیشن بانکی واقعی آغاز کند. در این مدت، کاربر صفحه جعلی «بهروزرسانی» یا صفحه سیاه میبیند تا مشکوک نشود.
تکامل تهدید
بدافزار Godfather ابتدا در مارس ۲۰۲۱ توسط ThreatFabric شناسایی شد و از آن زمان مسیر تکاملی چشمگیری را طی کرده است. نسخه جدید نسبت به نمونهای که در دسامبر ۲۰۲۲ توسط Group-IB تحلیل شد و ۴۰۰ اپلیکیشن در ۱۶ کشور را با پوششهای صفحه ورود HTML روی اپلیکیشنهای بانکی و صرافیهای ارز دیجیتال هدف قرار میداد، پیشرفت قابلتوجهی دارد.
کمپین شناساییشده توسط Zimperium در حال حاضر تنها ۱۲ اپلیکیشن بانکی ترکیهای را هدف قرار داده است؛ اما اپراتورهای دیگر Godfather ممکن است زیرمجموعههای دیگری از ۵۰۰ اپلیکیشن هدف را برای حمله به مناطق مختلف فعال کنند.
توصیههای حفاظتی
برای محافظت در برابر این بدافزار، توصیه میشود اپلیکیشنها تنها از Google Play یا APKهای منتشرکنندگان معتبر دانلود شوند، قابلیت Play Protect فعال باشد و به مجوزهای درخواستی اپلیکیشنها توجه شود.
