Una peligrosa oferta está haciendo en el sistema operativo Android el malware The Godfather, descubierto en 2021 por expertos, pero que ha regresado con más fuerza para atacar a bancos de todo el mundo.
Este troyano ha estado apuntando a usuarios en 16 países, intentando robar credenciales de cuentas para más de 400 sitios de banca en línea e intercambios de criptomonedas.
El malware genera pantallas de inicio de sesión superpuestas en la parte superior de los formularios de inicio de sesión de las aplicaciones bancarias y de intercambio criptográfico cuando las víctimas intentan iniciar sesión en el sitio, engañando al usuario para que ingrese sus credenciales en páginas de phishing HTML bien diseñadas.
Cyble publicó un informe destacando un aumento en la actividad de The Godfather, impulsando una aplicación que imita una herramienta de música popular en Turquía, descargada 10 millones de veces a través de Google Play.
Casi la mitad de todas las aplicaciones objetivo de El Padrino, 215, son aplicaciones bancarias, y la mayoría de ellas están en los Estados Unidos (49), Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19) y el Reino Unido (17).
Además de las aplicaciones bancarias, Godfather apunta a 110 plataformas de intercambio de criptomonedas y 94 aplicaciones de billetera de criptomonedas.
Una vez instalado en el dispositivo, El Padrino imita ‘Google Protect’, una herramienta de seguridad estándar que se encuentra en todos los dispositivos Android. El malware incluso llega al extremo de emular una acción de escaneo en el dispositivo.
El objetivo de este análisis es solicitar acceso al Servicio de accesibilidad desde lo que parece ser una herramienta legítima. Una vez que la víctima aprueba la solicitud, el malware puede emitirse todos los permisos que necesita para realizar un comportamiento malicioso.
Esto incluye acceso a mensajes de texto y notificaciones SMS, grabación de pantalla, contactos, hacer llamadas, escribir en almacenamiento externo y leer el estado del dispositivo.
Además, se abusa del Servicio de Accesibilidad para evitar que el usuario elimine el troyano, filtre las OTP de Google Authenticator (contraseñas de un solo uso), procese comandos y robe el contenido de los campos PIN y contraseña.
El Padrino filtra una lista de aplicaciones instaladas para recibir inyecciones coincidentes (formularios de inicio de sesión HTML falsos para robar credenciales) del servidor C2.
El malware también puede generar notificaciones falsas de aplicaciones instaladas en el dispositivo de la víctima para llevar a la víctima a una página de phishing, por lo que no tiene que esperar a que se abra la aplicación de destino.
