Думаете, заходите в свой банк? А вы уже в гостях у Godfather — и он очень гостеприимен
NewsMakerНастоящее приложение, настоящие деньги, поддельная реальность.
Вредоносное ПО для Android под названием Godfather получило опасное обновление . Теперь оно использует виртуализацию, чтобы в фоновом режиме перехватывать действия пользователей внутри банковских приложений. Это позволяет не просто красть данные, а буквально управлять сессией жертвы, не вызывая ни малейшего подозрения.
Обновлённая версия трояна создаёт на устройстве изолированную виртуальную среду, в которую переносятся настоящие приложения банков, криптобирж и торговых платформ. Визуально для пользователя ничего не меняется — он видит стандартный интерфейс, но все действия происходят внутри управляемого контейнера. За счёт этого вредоносный код получает полный доступ к данным — от паролей и PIN-кодов до результата банковских операций.
По механике атаки Godfather напоминает троян FjordPhantom , который в 2023 году виртуализировал приложение сингапурского SEA Bank, обходя системы защиты. Но новый вариант идёт дальше: он умеет подменять идентификаторы процессов, перехватывать Intent-сообщения и использовать StubActivity — «пустышку» внутри APK, выполняющую роль прокси для запуска других активностей.
Вредонос поставляется в виде APK-файла и включает в себя виртуализирующую инфраструктуру, построенную на открытом движке VirtualApp и системе перехвата API Xposed. После установки на устройство троян анализирует список приложений, установленных у жертвы, и, если среди них есть целевые, помещает их в контейнер и запускает с помощью StubActivity, имитируя обычный запуск.
Особая роль отведена службе специальных возможностей Android. Именно она позволяет трояну перехватывать системные события и направлять запросы пользователя не в реальное приложение, а в его виртуальный клон. При этом вводимые данные и любые взаимодействия легко перехватываются.
Godfather также внедряет фальшивые экраны блокировки в ключевые моменты — например, при вводе PIN-кода — тем самым вынуждая пользователя раскрывать чувствительную информацию. После этого операторы трояна могут отправлять команды на устройство: запускать нужные приложения, перемещаться по интерфейсу и инициировать переводы средств — всё это происходит в реальном приложении, но под полным контролем вредоносного кода. Чтобы не вызывать подозрений, в такие моменты жертва видит либо экран «обновления», либо просто чёрное поле.
Первая версия Godfather появилась ещё в 2021 году и поначалу ограничивалась простыми накладками на банковские интерфейсы. По данным Zimperium, сейчас вредонос нацелен на более чем 500 приложений — от финансовых до криптоплатформ — по всему миру. В текущей зафиксированной кампании пострадали в основном турецкие банки, но инфраструктура позволяет легко переключиться на другие регионы.
Чтобы не стать жертвой этой схемы, специалисты советуют загружать приложения исключительно из Google Play или из проверенных источников, активировать Play Protect и внимательно следить за правами , которые запрашивает каждое приложение. Особенно опасны запросы на доступ к службе спецвозможностей.
Вредоносное ПО для Android под названием Godfather получило опасное обновление . Теперь оно использует виртуализацию, чтобы в фоновом режиме перехватывать действия пользователей внутри банковских приложений. Это позволяет не просто красть данные, а буквально управлять сессией жертвы, не вызывая ни малейшего подозрения.
Обновлённая версия трояна создаёт на устройстве изолированную виртуальную среду, в которую переносятся настоящие приложения банков, криптобирж и торговых платформ. Визуально для пользователя ничего не меняется — он видит стандартный интерфейс, но все действия происходят внутри управляемого контейнера. За счёт этого вредоносный код получает полный доступ к данным — от паролей и PIN-кодов до результата банковских операций.
По механике атаки Godfather напоминает троян FjordPhantom , который в 2023 году виртуализировал приложение сингапурского SEA Bank, обходя системы защиты. Но новый вариант идёт дальше: он умеет подменять идентификаторы процессов, перехватывать Intent-сообщения и использовать StubActivity — «пустышку» внутри APK, выполняющую роль прокси для запуска других активностей.
Вредонос поставляется в виде APK-файла и включает в себя виртуализирующую инфраструктуру, построенную на открытом движке VirtualApp и системе перехвата API Xposed. После установки на устройство троян анализирует список приложений, установленных у жертвы, и, если среди них есть целевые, помещает их в контейнер и запускает с помощью StubActivity, имитируя обычный запуск.
Особая роль отведена службе специальных возможностей Android. Именно она позволяет трояну перехватывать системные события и направлять запросы пользователя не в реальное приложение, а в его виртуальный клон. При этом вводимые данные и любые взаимодействия легко перехватываются.
Godfather также внедряет фальшивые экраны блокировки в ключевые моменты — например, при вводе PIN-кода — тем самым вынуждая пользователя раскрывать чувствительную информацию. После этого операторы трояна могут отправлять команды на устройство: запускать нужные приложения, перемещаться по интерфейсу и инициировать переводы средств — всё это происходит в реальном приложении, но под полным контролем вредоносного кода. Чтобы не вызывать подозрений, в такие моменты жертва видит либо экран «обновления», либо просто чёрное поле.
Первая версия Godfather появилась ещё в 2021 году и поначалу ограничивалась простыми накладками на банковские интерфейсы. По данным Zimperium, сейчас вредонос нацелен на более чем 500 приложений — от финансовых до криптоплатформ — по всему миру. В текущей зафиксированной кампании пострадали в основном турецкие банки, но инфраструктура позволяет легко переключиться на другие регионы.
Чтобы не стать жертвой этой схемы, специалисты советуют загружать приложения исключительно из Google Play или из проверенных источников, активировать Play Protect и внимательно следить за правами , которые запрашивает каждое приложение. Особенно опасны запросы на доступ к службе спецвозможностей.