20/06/25
Теперь оно использует виртуализацию, чтобы в фоновом режиме перехватывать действия пользователей внутри банковских приложений. Это позволяет не просто красть данные, а буквально управлять сессией жертвы, не вызывая ни малейшего подозрения.
Обновлённая версия трояна создаёт на устройстве изолированную виртуальную среду, в которую переносятся настоящие приложения банков, криптобирж и торговых платформ. Визуально для пользователя ничего не меняется — он видит стандартный интерфейс, но все действия происходят внутри управляемого контейнера. За счёт этого вредоносный код получает полный доступ к данным — от паролей и PIN-кодов до результата банковских операций, пишет Securitylab.
По механике атаки Godfather напоминает троян FjordPhantom, который в 2023 году виртуализировал приложение сингапурского SEA Bank, обходя системы защиты. Но новый вариант идёт дальше: он умеет подменять идентификаторы процессов, перехватывать Intent-сообщения и использовать StubActivity — «пустышку» внутри APK, выполняющую роль прокси для запуска других активностей.
Вредонос поставляется в виде APK-файла и включает в себя виртуализирующую инфраструктуру, построенную на открытом движке VirtualApp и системе перехвата API Xposed. После установки на устройство троян анализирует список приложений, установленных у жертвы, и, если среди них есть целевые, помещает их в контейнер и запускает с помощью StubActivity, имитируя обычный запуск.
Особая роль отведена службе специальных возможностей Android. Именно она позволяет трояну перехватывать системные события и направлять запросы пользователя не в реальное приложение, а в его виртуальный клон. При этом вводимые данные и любые взаимодействия легко перехватываются.
Godfather также внедряет фальшивые экраны блокировки в ключевые моменты — например, при вводе PIN-кода — тем самым вынуждая пользователя раскрывать чувствительную информацию. После этого операторы трояна могут отправлять команды на устройство: запускать нужные приложения, перемещаться по интерфейсу и инициировать переводы средств — всё это происходит в реальном приложении, но под полным контролем вредоносного кода. Чтобы не вызывать подозрений, в такие моменты жертва видит либо экран «обновления», либо просто чёрное поле.
Первая версия Godfather появилась ещё в 2021 году и поначалу ограничивалась простыми накладками на банковские интерфейсы. По данным Zimperium, сейчас вредонос нацелен на более чем 500 приложений — от финансовых до криптоплатформ — по всему миру. В текущей зафиксированной кампании пострадали в основном турецкие банки, но инфраструктура позволяет легко переключиться на другие регионы.
