Gli esperti di Zimperium hanno individuato una nuova versione di Godfather che sfrutta la virtualizzazione per infettare i dispositivi Android. Questa tecnica è più efficace perché le ignare vittime interagiscono con le app legittime, senza accorgersi che inviano i dati degli account bancari ai cybercriminali.
Ambiente virtuale per rubare dati e soldi
I cosiddetti trojan bancari sono nascosti in app con interfaccia simile a quelle delle app legittime. L’utente inserisce le credenziali di login e i cybercriminali svuotano il conto corrente o il wallet di criptovalute (possono aggirare anche l’autenticazione in due fattori).
Godfather è invece nascosto in file APK (app host) che contiene una framework di virtualizzazione. Dopo aver individuato le app bancarie sul dispositivo Android, il malware scarica ed esegue le versioni ufficiali delle app nella sua sandbox. Quando l’ignara vittima avvia l’app legittima viene reindirizzato alla corrispondente versione eseguita all’interno della macchina virtuale.
I trojan bancari sfruttano quasi sempre i permessi di accessibilità per ottenere privilegi elevati. Godfather riesce ad aggirare le restrizioni di Android, convincendo l’utente che serve un permesso per accedere a tutte le funzionalità dell’app bancaria. I cybercriminali ricevono quindi password, PIN, indirizzi email e altri dati sensibili.
La nuova versione di Godfather può inoltre mostrare una finta schermata di blocco e intercettare PIN, password e sequenza. Attraverso comandi remoti, il malware può sbloccare il dispositivo, avviare le app bancarie ed effettuare il trasferimento di denaro. Durante questa operazione, l’utente vedrà uno schermo nero o un finto aggiornamento del sistema operativo.
Per limitare i rischi è sempre consigliato il download delle app dal Play Store. È inoltre necessario prestare molta attenzione alle richieste di permessi. La funzionalità Google Play Protect deve rimanere attiva perché può rilevare file APK infetti.