Diverse società specializzate nella sicurezza informatica hanno lanciato l’allarme circa la scoperta di una pericolosa ondata di attacchi che prendono di mira gli utenti di Android.
Questa volta la minaccia si chiama GodFather e sembra essere l’evoluzione di un malware, battezzato Anubis, che già circolava da tempo.
GodFather era stato scoperto da ThreatFabric a marzo 2021 ma da allora se ne erano perse un po’ le tracce: gli sviluppatori hanno evidentemente nel frattempo aggiunto molteplici funzionalità al malware che adesso prende di mira 400 tra banche e crypto exchange.
Gli esperti di Cyble hanno pubblicato un resoconto in cui si parla di una crescente diffusione di GodFather sui dispositivi mobili degli utenti. Il malware è stato già rinvenuto in alcune app pubblicate sul Play Store di Google ma, come spiega Group-IB, i principali canali di distribuzione non sono stati scoperti quindi il metodo di infezione iniziale è per larga parte ad oggi sconosciuto.
Una volta insediatosi sul dispositivo della vittima, Godfather imita Google Play Protect, uno strumento di sicurezza standard presente in Android, arrivando a simulare un’azione di scansione del dispositivo.
L’obiettivo è quello di indurre l’utente a fornire una serie di permessi oltre che alcuni controlli di accessibilità. Come avevamo spiegato nel caso di un altro malware, Xenomorph, il permesso speciale disegnare sopra alle altre app consente di realizzare attacchi phishing estremamente efficaci.
Un’applicazione malevola può riconoscere l’app per l’accesso al servizio di online banking di un istituto di credito e sovrapporre ad essa i propri elementi grafici al fine di sottrarre credenziali di autenticazione e codici autorizzativi.
GodFather prende di mira le app Android di 12 banche italiane: l’intento è ovviamente quello di raccogliere i dati necessari per effettuare trasferimenti di denaro all’insaputa delle vittime.
Per massimizzare la sua efficacia e superare l’autenticazione a due fattori, GodFather richiede l’accesso al contenuto di SMS e notifiche, prova ad abilitare la registrazione dello schermo, chiede l’accesso ai contatti, il permesso di effettuare chiamate, di scrivere dati nella memoria esterna e di raccogliere dati sullo stato del dispositivo.
I servizi di accessibilità Android vengono inoltre utilizzati per impedire all’utente di rimuovere il malware, per leggere e utilizzare i codici OTP di Google Authenticator, per rubare il contenuto dei campi PIN e password.
Il malware può anche generare false notifiche da parte delle app installate sul dispositivo in modo da indirizzare gli utenti verso pagine phishing. Inoltre, per le applicazioni che GodFather non gestisce direttamente, il malware attiva la funzionalità di registrazione dello schermo per acquisire le credenziali inserite dalla vittima nei vari campi.
GodFather integra anche una serie di moduli che consentono agli aggressori remoti di attivare la registrazione di “tasti” utilizzati (keylogging), avviare un server VNC, bloccare e oscurare lo schermo, attivare la modalità silenziosa, creare una connessione WebSocket.
Per proteggersi da GodFather risulta fondamentale scaricare app Android da fonti ufficiali e soprattutto realizzate da sviluppatori noti e affidabili. Come abbiamo detto più volte, un antivirus Android non è affatto inutile e anzi permette di proteggersi anche dalle minacce più recenti.
È inoltre essenziale non concedere permessi Android potenzialmente pericolosi stando alla larga dalle “autorizzazioni speciali” sulle quali contano malware come GodFather.
Massima attenzione dovrebbe inoltre essere riposta sul contenuto degli SMS: lo smishing è una tecniche più “gettonate” per indurre gli utenti a installare applicazioni dannose.