Firma Zimperium, specjalizująca się w bezpieczeństwie urządzeń mobilnych, opublikowała raport dotyczący nowych metod pozwalających na wykradanie danych w aplikacjach bankowych na urządzeniach z systemami Android. Metody te opierają się na wykorzystaniu mechanizmów wirtualizacji.
Wykorzystanie wirtualizacji pozwala na lepsze ukrycie złośliwej aplikacji przed wykryciem, poprzez przypisanie poprawnych oraz niewzbudzających podejrzeń uprawnień, aplikacji będącej „hostem” i przeprowadzanie wszystkich złośliwych operacji w środowisku wirtualnym. Co więcej, technika ta została wykorzystana w jeszcze inny sposób. Mianowicie w ramach działania malware’u nie jest instalowana żadna nakładka (funkcja ta nie jest jednak porzucana, co pozwala na szersze możliwości wykorzystania) lub podrobiona wersja aplikacji bankowej, a przekierowane są odpowiednie jej funkcje do aplikacji będącej „hostem” dla malware’u oraz wykonywane są w środowisku wirtualnym. Pozwala to na łatwą ekstrakcję danych wykorzystywanych przez aplikację bankową, takich jak: identyfikatory kont, hasła, kody PIN, a nawet jest w stanie przejąć odpowiedzi z serwerów banków. W momencie tworzenia raportu, malware był w stanie podszyć się pod około 500 istniejących na świecie aplikacji bankowych. Funkcje wirtualizacji były skupione jednak na około 12 aplikacjach należących do tureckich instytucji finansowych.
W ramach raportu opublikowanego przez Zimperium, możemy dowiedzieć się również, że malware Godfather pozwala na częściowe zdalne przejęcie kontroli nad urządzeniem, wykorzystując do tego odpowiednie komendy.
Godfather opiera się na usługach ułatwień dostępu, aby prowadzić działania związane ze zbieraniem informacji i kontrolować zagrożone urządzenia. Podczas gdy Google wymusiło zabezpieczenia, które uniemożliwiają aplikacjom zainstalowanym spoza sklepu Play włączenie usługi ułatwień dostępu od wersji Android 13, podejście oparte na instalacji sesji może obejść to zabezpieczenie.
Źródła:
