20.06.2025
1 хв
556
Android-мальвар Godfather знову активний — тепер із новою тактикою. Вона створює віртуальне середовище на пристрої, щоб непомітно викрадати логіни, паролі та здійснювати транзакції у справжніх банківських додатках.
Аналітики компанії Zimperium виявили нову версію Android-шкідника *Godfather*, який виконує атаки на мобільні банківські застосунки, криптовалютні гаманці та e-commerce платформи, імітуючи середовище роботи реальних додатків. Використовуючи інструменти VirtualApp і Xposed, Godfather створює ізольоване віртуальне середовище прямо на пристрої користувача. Зловмисники запускають справжні банківські застосунки в цьому середовищі, обманюючи Android-систему через *StubActivity*. Користувач бачить інтерфейс “як завжди”, але всі дії — від натискань до введення PIN-коду — перехоплюються шкідником.
У потрібні моменти Godfather демонструє фейкові екрани блокування або оновлення, поки у фоновому режимі виконується викрадення даних або навіть ініціюються фінансові перекази. Godfather вперше виявили у 2021 році, а в 2022 він уже атакував 400 застосунків у 16 країнах, використовуючи HTML-оверлеї для крадіжки даних. У новій версії зловмисники атакують щонайменше 500 застосунків, зокрема в Туреччині, та використовують повну віртуалізацію для обходу захистів Android. Цей підхід вже нагадував подібну атаку 2023 року від мальварі *FjordPhantom*, яка також використовувала контейнеризацію для проникнення в банківські додатки в Південно-Східній Азії.
Godfather — це яскравий приклад того, як зловмисники комбінують легальні open-source технології з продуманими схемами атак, щоб обійти мобільні захисти. Користувачі повинні бути особливо обережні, завантажуючи APK-файли з недовірених джерел, уважно перевіряти дозволи і активувати Play Protect. Усе частіше захист — це не технологія, а звички.
