Este malware de Android amenaza cientos de aplicaciones bancarias

Una nueva amenaza en forma de malware de Android preocupa a los expertos en seguridad de la empresa Zimperium, puesto que tiene la capacidad de hackear más de 500 aplicaciones bancarias. Esto significa que los datos y el dinero de los usuarios pueden estar en riesgo.

El equipo de la firma de seguridad Zimperium, en un análisis publicado el día 18 de junio, explica, de la mano de los expertos Fernando Ortega y Vishnu Pratapagiri, el riesgo existente. Informan a la comunidad de la existencia de Godfather, malware ya conocido que ahora tiene una nueva versión más eficaz y peligrosa. Su primera versión fue descubierta en 2021 por ThreatFabric y, desde entonces, no ha dejado de evolucionar. Su última encarnación en el sistema operativo Android es la que más riesgo implica.

Ataques con virtualización

Lo que hace Godfather es llevar a cabo ataques de virtualización, o, dicho de otro, crea entornos virtuales controlados por los cibercriminales dentro del móvil de los usuarios para poder robar datos y accesos bancarios. El tipo de amenaza es similar al malware FjordPhantom que descubrió Promon el 30 de noviembre de 2023. En ese momento, el malware ya puso de manifiesto una técnica con la cual creaba un entorno virtual en el teléfono de los usuarios para evitar que los sistemas de seguridad pudieran detectarlo.

El principal problema es que el anterior malware solo tenía capacidad de infectar aplicaciones bancarias del grupo Seabank, mientras que, en el caso de Godfather, actúa sobre más de 500 apps distintas. Los hackers también la pueden utilizar para atacar aplicaciones de comercio electrónico, como tiendas y servicios de compras, e incluso en servicios de criptomonedas. Eso ha puesto la alarma sobre los expertos, que consideran que se trata de una amenaza que genera una gran incertidumbre y que está por encima en peligrosidad a otras infecciones recientes.

¿Cómo actúa Godfather?

La infección comienza con una aplicación en formato APK como las que se pueden descargar de tiendas de apps alternativas a Google Play. Este tipo de tiendas exponen a los usuarios a riesgos, así que siempre se recomienda recurrir a Google Play como primera opción. Cuando un usuario instala esta APK infectada, su móvil carga un framework de virtualización que sirve como punto de apoyo para que los hackers se hagan con el control del teléfono.

A partir de ese momento, Godfather ya está activo en el móvil. Lo primero que hace el malware es revisar cuál es la lista de aplicaciones instaladas en el teléfono. Entre ellas busca aquellas que estén en su lista de compatibilidad. Es decir, aplicaciones bancarias, tiendas online o apps relacionadas con criptomonedas. En el momento en el que las encuentra, el entorno virtual se despliega en las aplicaciones reales y utiliza un sistema conocido como StubActivity para controlar la apertura de las aplicaciones. Con este sistema Android piensa que está cargando una app legal y que no existe ningún tipo de riesgo, pero lo cierto es que Godfather está interceptando la señal y abriendo su entorno de virtualización infectado.

Debido a esto, cuando se abre la aplicación bancaria que ha sido interceptada, Godfather carga en su lugar una versión idéntica, pero ubicada dentro del entorno de virtualización. Por lo tanto, todo lo que hace el usuario a partir de ese momento queda bajo la vista del hacker. Eso incluye los credenciales introducidos, las contraseñas, claves, los códigos PIN y cualquier otro dato que se llegue a introducir. A través de esa información robada, los hackers pueden después utilizar las aplicaciones bancarias de sus víctimas para extraer el dinero que tengan en ellas.

Además, como forma de garantizar que los usuarios facilitarán sus contraseñas, el entorno de virtualización provoca que, en algunos momentos, aparezca una pantalla falsa de bloqueo en el móvil. Eso hace que los usuarios tengan que introducir sus códigos de desbloqueo o contraseñas, lo que les facilita a los cibercriminales la obtención de datos sensibles. Desde Zimperium recuerdan que, para estar protegidos ante esta amenaza, es imprescindible descargar aplicaciones únicamente desde Google Play. También hacen mención a cómo Godfather podría volver a evolucionar infectando más aplicaciones bancarias. Al fin y al cabo, la versión anterior, descubierta por Group-IB y analizada más en profundidad el 20 de diciembre de 2022 por Cyble, ya afectaba a 400 apps financieras. Ahora la cifra ha subido a más de 500 aplicaciones y podría continuar aumentando.

Fuente: Bleeping Computer | adslzone

Seguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -