Uma nova e perigosa versão do malware para Android, conhecido como "Godfather", está a utilizar uma técnica de ataque particularmente sofisticada para roubar dados de contas e manipular transações diretamente das aplicações legítimas instaladas no seu telemóvel. A tática consiste em criar um ambiente virtual isolado dentro do próprio dispositivo, onde clona e executa as suas apps financeiras para o enganar na perfeição.
Este método permite que os cibercriminosos espiem em tempo real tudo o que o utilizador faz, roubando credenciais, intercetando códigos e até mesmo realizando operações bancárias sem o seu conhecimento. Embora a técnica se assemelhe à do malware FjordPhantom, detetado no final de 2023, o alcance do Godfather é muito mais vasto, tendo como alvo mais de 500 aplicações de bancos, criptomoedas e comércio eletrónico a nível mundial.
Segundo a empresa de cibersegurança Zimperium, que analisou esta nova variante, o nível de engano é extremamente elevado. O utilizador interage com a interface visual exata da sua aplicação real, enquanto as proteções do sistema Android são contornadas, uma vez que o sistema apenas regista a atividade da aplicação maliciosa hospedeira, e não o que se passa dentro do "clone" virtual.
Como funciona este ataque virtualizado?
O Godfather chega ao dispositivo sob a forma de uma aplicação (ficheiro APK) que contém um motor de virtualização. Ferramentas de código aberto, como o motor VirtualApp e o Xposed, são aproveitadas para criar este "contentor" malicioso.
Quando a vítima tenta abrir a sua aplicação bancária legítima, o malware, através das permissões de acessibilidade que lhe foram concedidas, interceta esta ação. Em vez de abrir a app verdadeira, lança uma cópia virtualizada dentro do seu próprio ambiente controlado. Para o sistema operativo Android, tudo parece normal, pois a atividade é mascarada como se fosse da app hospedeira. O utilizador, por sua vez, não nota qualquer diferença, pois vê o ecrã e as funcionalidades exatas da aplicação que confia.
No entanto, por detrás desta fachada, o malware está a monitorizar e a registar tudo: desde as credenciais de acesso e palavras-passe, aos códigos PIN e até mesmo os toques no ecrã.
O roubo de dados e o controlo total do dispositivo
Para garantir que obtém os dados mais sensíveis, o malware exibe ecrãs de bloqueio falsos em momentos cruciais, levando a vítima a introduzir o seu PIN ou palavra-passe. Depois de recolher e enviar toda esta informação para os seus operadores, o Godfather fica à espera de comandos remotos.
A partir daí, os atacantes podem desbloquear o dispositivo, navegar pela interface, abrir aplicações e iniciar pagamentos ou transferências a partir da aplicação bancária real. Durante este processo, para não levantar suspeitas, o malware exibe no ecrã do utilizador uma falsa mensagem de "a atualizar" ou simplesmente um ecrã preto.
Uma ameaça em constante evolução
O Godfather não é um ator novo no panorama da cibersegurança. A sua primeira aparição, descoberta pela ThreatFabric, remonta a março de 2021. Desde então, tem demonstrado uma trajetória de evolução impressionante.
Esta última versão representa um salto significativo em relação à variante analisada pela Group-IB em dezembro de 2022, que na altura visava 400 aplicações em 16 países usando sobreposições de ecrãs de login em HTML. Embora a campanha específica detetada pela Zimperium vise principalmente uma dúzia de aplicações bancárias na Turquia, a estrutura do malware permite que os operadores ativem facilmente outros alvos da sua vasta lista de 500 aplicações, podendo direcionar o ataque para diferentes regiões, incluindo Portugal, a qualquer momento.
Como pode proteger o seu smartphone?
Para se proteger contra este tipo de malware e outras ameaças semelhantes, é fundamental seguir boas práticas de segurança:
- Descarregue aplicações apenas de fontes oficiais, como a Google Play Store. Evite instalar ficheiros APK de websites ou fontes desconhecidas.
- Certifique-se de que o Play Protect está ativo no seu dispositivo. Esta é a ferramenta de segurança integrada da Google que analisa as aplicações.
- Preste muita atenção às permissões solicitadas por uma aplicação durante a instalação. Desconfie de apps que pedem acesso a funcionalidades sensíveis, como os serviços de acessibilidade, se não houver uma razão clara para tal.
Nenhum comentário
Seja o primeiro!