СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
20.06.2025
#Dev#ИБ#Инфра

Вредонос Godfather использует виртуализацию Android для взлома банковских приложений и захвата финансовых данных

Вредонос Godfather использует виртуализацию Android для взлома банковских приложений и захвата финансовых данных

Изображение: Rob Hampson (unsplash)

Исследовательская группа Zimperium выявила усовершенствованную версию вредоносного ПО Godfather для Android, которое использует технологии виртуализации, чтобы незаметно внедряться в банковские, криптовалютные и коммерческие приложения. Новый подход позволяет программному коду не только скрывать своё присутствие, но и взаимодействовать с пользовательским интерфейсом в реальном времени, перехватывая действия жертвы и перенаправляя транзакции в пользу злоумышленников.

Godfather распространяется в виде APK-файла с интегрированной системой виртуализации, основанной на инструментах VirtualApp и Xposed с открытым исходным кодом. После установки вирус сканирует устройство на наличие приложений из списка целей — их более 500 — и при обнаружении запускает каждое в изолированном контейнере.

Вместо того чтобы активировать настоящее приложение напрямую, вредонос задействует специальный механизм StubActivity, выступающий прокси-оболочкой. Он запускает нужную программу в пределах поддельной среды, незаметно подменяя оригинальный процесс.

По данным Zimperium, обман достигает высокого уровня: жертва видит подлинный интерфейс приложения, система Android считает, что запущено разрешённое ПО, в то время как весь ввод, передача и отклики идут через контролируемую среду злоумышленников.

Godfather перехватывает «намерения» (Intent), захватывает управление специальными возможностями Android и направляет команды на StubActivity, который перезапускает приложение уже внутри вредоносного контейнера.

Используя расширения Xposed, вирус подключается к API и перехватывает всё: логины, пароли, PIN-коды, команды касаний, ответы банковских серверов. Дополнительно отображаются поддельные экраны блокировки, «обновлений» или затемнения, чтобы пользователь не заметил мошенничество. Во время сбора данных программа может имитировать сбой или установку обновления, а в действительности в этот момент происходит навигация по интерфейсу и проведение транзакций с банковского счёта жертвы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: