<div id="post_message_798317">

Обнаружена новая версия Android-малвари Godfather, которая создает изолированные виртуальные среды на мобильных устройствах, чтобы похищать данные из банковских приложений.<br/>
<br/>
Напомним, что Godfather впервые <a href="https://twitter.com/ThreatFabric/status/1505932079401480198" target="_blank">был замечен </a>в марте 2021 года исследователями из компании ThreatFabric. С тех пор банкер претерпел заметные изменения и сильно отличается от последнего образца, <a href="https://xakep.ru/2022/12/21/godfather/" target="_blank">изученного Group-IB</a> в декабре 2022 года. Тогда вредонос атаковал 400 криптовалютных и банковских приложений в 16 странах мира, используя HTML-оверлеи.<br/>
<br/>
Как теперь рассказывают специалисты <a href="https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization" target="_blank">Zimperium</a>, нашедшие новую модификацию вредоноса, малварь выполняется на устройстве в контролируемой виртуальной среде, что позволяет в режиме реального времени шпионить, похищать учетные данные, а также манипулировать транзакциями, при этом сохраняя надежную маскировку.<br/>
<br/>
Впервые подобная тактика была замечена в конце 2023 года в малвари <a href="https://promon.io/security-news/fjordphantom-android-malware" target="_blank">FjordPhantom </a>для Android, которая тоже использовала виртуализацию для выполнения банковских приложений внутри контейнеров, чтобы избежать обнаружения.<br/>
<br/>
Однако если FjordPhantom был нацелен только на пользователей из Юго-Восточной Азии, то область атак Godfather гораздо шире: он нацелен более чем на 500 банковских, криптовалютных и e-commerce приложений по всему миру. В атаках Godfather применяется виртуальная файловая система, виртуальный идентификатор процесса, подмена Intent’ов и StubActivity.<br/>
<br/>
В результате, по словам экспертов, пользователь видит только реальный интерфейс приложения, а средства защиты Android не замечают вредоносной активности, поскольку в манифесте заявлены только действия хост-приложения.<br/>
<br/>
Godfather распространяется в формате APK-файла, содержащего встроенный фреймворк виртуализации. Малварь использует такие опенсорсные инструменты, как VirtualApp и Xposed для перехвата вызовов.<br/>
<br/>
После активации на устройстве жертвы вредонос проверяет наличие установленных целевых приложений, и если они найдены, помещает их в свою виртуальную среду и использует StubActivity для запуска внутри хост-контейнера.<br/>
<br/>
StubActivity фактически является пустышкой, подставной Activity, встроенной во вредоносный APK с движком виртуализации. Она не имеет UI или собственной логики — служит лишь прокси, создает контейнер и запускает настоящие Activity из целевых (например, банковских) приложений внутри виртуальной среды. Тем самым Godfather обманывает Android, заставляя систему считать, что запускается легитимное приложение, тогда как на самом деле малварь перехватывает и контролирует его.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/522805/creating-env.jpg"/><br/>
<br/>
Когда пользователь запускает настоящее банковское приложение, Godfather, ранее получивший разрешение на использовании Accessibility Service, перехватывает Intent и перенаправляет его в StubActivity внутри хост-приложения. В итоге виртуализированная копия банковского приложения запускается внутри контейнера.<br/>
<br/>
В результате пользователь видит реальный интерфейс приложения, но все связанные с ним конфиденциальные данные могут быть легко перехвачены.<br/>
<br/>
Упомянутый выше Xposed применяется для API-хукинга, и Godfather получает возможность сохранять учетные данные, пароли, PIN-коды, отслеживать касания и получать ответы от банковского бэкэнда.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/522805/network-hooks.jpg"/><br/>
<br/>
Кроме того, в ключевые моменты малварь отображает поддельный оверлей, чтобы обманом заставить жертву ввести PIN-код или пароль.<br/>
<br/>
После сбора и передачи всех данных своим операторам Godfather ожидает дальнейшей команды от хакеров, чтобы разблокировать устройство, совершить определенные операции с пользовательским интерфейсом, открыть приложение и осуществить платеж/перевод из настоящего банковского приложения.<br/>
<br/>
Причем пользователь в это время видит фальшивый экран «обновления» или черный экран, чтобы подозрительная активность не привлекла его внимание.<br/>
<br/>
Хотя обнаруженная Zimperium кампания нацелена только на ряд турецких банковских приложений, исследователи предупреждают, что другие операторы Godfather могут выбрать другие подмножества из 500 целевых приложений для атаки на другие регионы.<br/>
<br/>
<a href="https://xakep.ru/2025/06/20/new-godfather/" target="_blank">@ xakep.ru</a>
</div>