El malware GodFather emplea entornos de aplicaciones ocultas para eludir pantallas y recopilar información privada.
El malware GodFather opera aplicaciones bancarias legítimas en un entorno oculto para robar información de los usuarios.
Un nuevo tipo de malware conocido como GodFather ha sido descubierto, presentando un riesgo significativo para las aplicaciones de banca y criptomonedas a nivel mundial. Este malware utiliza la virtualización en el dispositivo para apoderarse de aplicaciones legítimas en un entorno controlado por los atacantes. A diferencia de ataques previos que mostraban pantallas de inicio de sesión falsas, esta versión del malware ejecuta las aplicaciones reales en un espacio virtual donde los atacantes pueden observar todas las acciones del usuario.
El ataque se inicia con una aplicación anfitriona que contiene una herramienta de virtualización. Esta aplicación descarga la app bancaria o de criptomonedas objetivo y la ejecuta en un ambiente privado. Cuando el usuario abre su aplicación, es redirigido a una versión virtual sin darse cuenta, permitiendo que cada interacción, como toques, inicios de sesión y entradas de PIN, sea rastreada en tiempo real. Dado que el usuario está tratando con una aplicación auténtica, es casi imposible detectar la violación simplemente mirando la pantalla.
El GodFather también incorpora técnicas de encriptación y oculta gran parte de su código para evitar análisis estáticos. Solicita permisos de accesibilidad y se autoriza silenciosamente a sí mismo mayor acceso, lo que facilita el ataque y complica su detección. Fernando Ortega, Investigador Senior de Seguridad, destaca que los atacantes móviles están evolucionando más allá de simples superposiciones, utilizando la virtualización para acceder en tiempo real a aplicaciones de confianza.
Según el análisis, esta variante de GodFather parece centrarse en bancos turcos, aunque la campaña afecta a casi 500 aplicaciones de varias categorías, incluyendo servicios financieros, plataformas de criptomonedas, comercio electrónico y aplicaciones de mensajería. El malware identifica aplicaciones específicas en el dispositivo, crea clones en el espacio virtual y utiliza estas versiones para recopilar información y monitorear el comportamiento del usuario. También tiene la capacidad de robar credenciales de la pantalla de bloqueo del dispositivo utilizando superposiciones falsas que imitan las indicaciones del sistema.
Una vez infectado, los atacantes pueden controlar el teléfono de forma remota mediante una serie de comandos, realizando acciones como deslizamientos, apertura de aplicaciones, ajuste de brillo y simulación de acciones del usuario.
Para protegerse, es crucial evitar la instalación de aplicaciones provenientes de fuentes desconocidas y utilizar solo tiendas oficiales como Google Play. Es recomendable revisar cuidadosamente los permisos de las aplicaciones; si una app solicita acceso a la accesibilidad o permiso para superposición de pantalla sin una razón clara, es mejor desinstalarla. Mantener el sistema operativo del teléfono actualizado, utilizar herramientas de seguridad móvil de desarrolladores confiables y evitar la carga lateral de archivos APK, incluso si vienen de conocidos, son otras medidas recomendadas. Reiniciar el teléfono regularmente puede ayudar a prevenir la persistencia del malware, además de estar atentos a comportamientos inusuales, como un drenaje rápido de la batería o superposiciones extrañas. Si alguna vez la aplicación bancaria se ve diferente o pide iniciar sesión más a menudo de lo normal, es aconsejable dejar de usarla y contactar a la entidad bancaria correspondiente.
