ゴッドファーザーAndroidマルウェアが仮想化を使用して銀行アプリを乗っ取る

Androidマルウェア「ゴッドファーザー」の新バージョンは、モバイルデバイス上に隔離された仮想環境を作成し、正規の銀行アプリからアカウントデータや取引を盗みます。

これらの悪意のあるアプリは、デバイス上の制御された仮想環境内で実行され、リアルタイムのスパイ活動、資格情報の盗難、取引の操作を可能にし、完璧な視覚的欺瞞を維持します。

この手法は、2023年後半に見られたFjordPhantom Androidマルウェアに似ており、仮想化を使用してSEA銀行アプリをコンテナ内で実行し、検出を回避しました。

しかし、ゴッドファーザーのターゲット範囲ははるかに広く、世界中の500以上の銀行、暗号通貨、eコマースアプリを対象に、完全な仮想ファイルシステム、仮想プロセスID、インテントスプーフィング、StubActivityを使用しています。

Zimperiumによると、分析した結果、欺瞞のレベルは非常に高いです。ユーザーは実際のアプリのUIを見ており、Androidの保護機能は悪意のある操作の側面を見逃します。なぜなら、ホストアプリのアクティビティのみがマニフェストに宣言されているからです。

仮想化されたデータ盗難

ゴッドファーザーは、VirtualAppエンジンやXposedなどのオープンソースツールを利用した仮想化フレームワークを埋め込んだAPKアプリの形で登場します。

デバイス上でアクティブになると、インストールされたターゲットアプリをチェックし、見つかればそれを仮想環境内に配置し、StubActivityを使用してホストコンテナ内で起動します。

StubActivityは、仮想化エンジン（マルウェア）を実行するアプリで宣言されたプレースホルダーアクティビティで、仮想化されたアプリからアクティビティを起動および実行するためのシェルまたはプロキシとして機能します。

独自のUIやロジックを含まず、代わりにホストアプリに動作を委任し、Androidを騙して正当なアプリが実行されていると思わせながら、実際にはそれを傍受して制御します。

被害者が実際の銀行アプリを起動すると、ゴッドファーザーのアクセシビリティサービス権限が「インテント」を傍受し、ホストアプリ内のStubActivityにリダイレクトし、コンテナ内で銀行アプリの仮想バージョンを起動します。

ユーザーは実際のアプリインターフェースを見ますが、彼らの操作に関与するすべての機密データが簡単に乗っ取られます。

Xposedを使用してAPIフックを行うことで、ゴッドファーザーはアカウントの資格情報、パスワード、PIN、タッチイベントを記録し、銀行のバックエンドからの応答をキャプチャできます。

マルウェアは、被害者にPIN/パスワードを入力させるために、重要な瞬間に偽のロックスクリーンオーバーレイを表示します。

すべてのデータを収集し、外部に送信した後、オペレーターからのコマンドを待ち、デバイスのロックを解除し、UIナビゲーションを実行し、アプリを開き、実際の銀行アプリ内からの支払いや送金をトリガーします。

この間、ユーザーは偽の「更新」画面や黒い画面を見て、疑念を抱かないようにします。

進化する脅威

ゴッドファーザーは、ThreatFabricによって発見され、2021年3月にAndroidマルウェアの分野に初めて登場し、それ以来、印象的な進化の軌跡をたどってきました。

最新のゴッドファーザーバージョンは、2022年12月にGroup-IBによって分析された最後のサンプルに対する重要な進化を示しています。このサンプルは、銀行や暗号交換アプリの上にHTMLログイン画面オーバーレイを使用して、400のアプリと16の国をターゲットにしていました。

Zimperiumが発見したキャンペーンは、トルコの銀行アプリ12個のみをターゲットにしていますが、他のゴッドファーザーオペレーターは、500のターゲットアプリの他のサブセットをアクティブにして、異なる地域を攻撃することを選ぶかもしれません。

このマルウェアから身を守るためには、Google Playからのみアプリをダウンロードするか、信頼できるパブリッシャーからのAPKをダウンロードし、Play Protectがアクティブであることを確認し、要求された権限に注意を払ってください。