GodFather Malware bliver smartere

GodFather Android-malware kaprer bankapps for at stjæle data

En ny version af GodFather-malwaren til Android vækker stor bekymring i cybersikkerhedsverdenen. I stedet for at benytte sig af falske login-skærme eller overlejringer, anvender denne variant en avanceret virtualiseringsteknik, der gør det muligt at køre legitime bankapps i et isoleret sandkassemiljø på den inficerede enhed. Brugeren tror, at de bruger deres rigtige app, mens malwaren i stilhed opsnapper følsomme oplysninger.

Den opdaterede variant blev for nylig opdaget af sikkerhedsforskere hos Zimperium zLabs, som har afsløret, at GodFather nu udnytter virtualisering til at overtage reelle bank- og kryptoapps og udtrække data direkte fra dem.

Et nyt niveau af bedrag

Den opdaterede GodFather-malware skaber en falsk, men fuldt fungerende version af offerets bank- eller finansapp ved hjælp af virtualisering. Når brugeren åbner appen, interagerer de uden at vide det med et kontrolleret miljø, der ligner den ægte app til forveksling. Det giver malwaren mulighed for at opsnappe loginoplysninger, to-faktor-godkendelseskoder og andre følsomme data – uden at brugeren fatter mistanke.

Metoden er langt mere effektiv end traditionelle overlay-angreb, fordi alt ser legitimt og velkendt ud for offeret.

Målretter sig mod finansielle apps verden over

Forskere har observeret, at malwaren retter sig mod over 400 bank- og kryptovaluta-apps i mere end et dusin lande. Ofrene befinder sig primært i Europa, Nordamerika og Asien. GodFather er ofte forklædt som en legitim app, for eksempel et produktivitetsværktøj eller et spil, og anmoder om omfattende tilladelser umiddelbart efter installationen.

Når malwaren er aktiv, udnytter den Androids Accessibility Services til at overvåge skærmindhold og brugerens input. Når en målrettet app åbnes, aktiverer GodFather sin virtualiserede version og begynder at optage hele sessionen.

Mere end bare login-oplysninger

Ud over brugernavne og adgangskoder kan GodFather opsnappe engangskoder, SMS-baserede to-faktor-godkendelseskoder og app-notifikationer. Det giver hackerne fuld adgang til offerets konti og kommunikation. Nogle versioner af malwaren indeholder desuden keylogging og skærmoptagelse.

Det, der gør denne metode særligt farlig er, at ofrene bruger deres rigtige apps uden at ane, at de overvåges i et virtuelt miljø.

Læs om, hvordan multifaktorautentificering fungerer, og hvorfor SMS-baseret 2FA ikke altid er sikkert. Du kan også lære, hvordan keyloggere fungerer, og hvilke tegn du skal være opmærksom på.

Sådan kan brugere beskytte sig

For at beskytte sig mod trusler som GodFather bør man tage en række forholdsregler:

• Download kun apps fra betroede kilder som Google Play, og kontrollér, hvem udvikleren er

• Undgå at give følsomme tilladelser, især adgang til tilgængelighedstjenester og SMS

• Brug en mobil sikkerhedsløsning, der kan opdage og advare om mistænkelig adfærd

• Sørg for, at både enhed og apps altid er opdaterede, så kendte sårbarheder bliver lukket

GodFathers nye funktioner viser, hvor avanceret mobil malware er ved at blive. Når hackere kan køre rigtige apps i et isoleret miljø, bliver det langt sværere at opdage angrebet. Derfor er viden og årvågenhed afgørende, hvis man vil forblive et skridt foran.

Afsluttende tanker

Den nyeste version af GodFather markerer et afgørende skridt i udviklingen af Android-malware. Ved at kombinere virtualisering med social engineering formår hackerne at udviske grænserne mellem legitim og ondsindet aktivitet. Det gør det vanskeligere at opdage angrebet med traditionelle metoder og stiller større krav til både brugere og organisationer om at være opmærksomme og handle proaktivt.

I takt med at mobilbank og finansielle apps vinder frem, bliver de også et mere attraktivt mål for cyberkriminelle. Det er derfor vigtigere end nogensinde at holde sig opdateret om trusselsbilledet. For at kunne beskytte dine data, skal du først forstå, hvordan de bliver angrebet.