Gli utenti Android che utilizzano app di mobile banking farebbero bene a tenere alta l’attenzione, stando alle ultime rilevazioni dei ricercatori di sicurezza di Zimperium, una nuova versione del famigerato malware Godfather è tornata a circolare e, questa volta, con modalità d’attacco ancora più subdole ed efficaci, in grado di ingannare persino gli utenti più attenti.
Non siamo di fronte a una semplice evoluzione tecnica del malware già noto, ma a un vero e proprio cambio di paradigma, dall’approccio overlay a un meccanismo di virtualizzazione che rende estremamente difficile accorgersi dell’infezione in corso; il fatto che, almeno per ora, il malware sia stato osservato in azione su dispositivi Android di utenti turchi non è affatto rassicurante, come sempre infatti il rischio che si diffonda a livello globale è tutt’altro che remoto.
Motorola edge 60, 8/256 GB
50+50+10MP, 6.67'' pOLED 120Hz, Batteria 5200mAh, ricarica 68W, Android 15
Il malware Godfather si evolve e continua a mietere vittime
Per chi non lo ricordasse, Godfather è un malware di tipo trojan bancario già noto agli analisti di sicurezza, che nelle sue versioni precedenti agiva attraverso un meccanismo piuttosto classico ma comunque efficace, ovvero l’iniezione di un overlay trasparente sopra le app bancarie legittime installate sullo smartphone; in questo modo, quando l’utente inseriva le proprie credenziali (username, password, PIN e dati sensibili) queste venivano intercettate in tempo reale e inviate agli attaccanti, che poi procedevano ad effettuare operazioni fraudolente come bonifici o prelievi.
La nuova versione individuate da Zimperium tuttavia, supera di gran lunga le tecniche precedenti in termini di sofisticazione e pericolosità, abbandonato l’overlay Godfather è ora in grado di creare una versione virtualizzata dell’app bancaria, attiva in una sorta di sandbox interna, ogni volta che l’utente tenta di avviare quella reale.
In pratica, al posto dell’app originale, viene avviata una copia virtuale controllata dal malware stesso, perfettamente identica nell’interfaccia e nel comportamento, ma sotto il totale controllo dell’attaccante; poiché il processo avviene all’interno di un ambiente isolato, il malware non ha nemmeno bisogno di richiedere permessi invasivi, cosa che lo rende ancora più difficile da individuare.
Il risultato? L’utente interagisce in buona fede con un’app che sembra perfettamente funzionante, mentre in realtà sta consegnando i propri dati sensibili (credenziali, PIN, pattern di sblocco) direttamente nelle mani dei criminali.
Secondo quanto riportato Godfather è in grado di operare anche in orari strategici, ad esempio durante la notte quando l’utente è inattivo o dorme, per eseguire operazioni di trasferimento fondi in background; inoltre, grazie alla possibilità di controllo remoto del dispositivo compromesso, gli attaccanti possono impartire comandi in tempo reale, senza che il proprietario se ne accorga.
Zimperium afferma di aver rilevato questa nuova variante del malware esclusivamente su dispositivi Android in Turchia, ma l’esperienza ci insegna che la geolocalizzazione di una prima ondata di attacchi non rappresenta mai un limite reale alla diffusione successiva; le tecniche di diffusione di questo trojan infatti si adattano rapidamente, sfruttando campagne di phishing, link dannosi sui social, app contraffatte e marketplace alternativi.
Come sempre, in presenza di minacce di questo tipo, il primo livello di difesa è il comportamento dell’utente stesso; ecco quindi alcune pratiche fondamentali da seguire:
- scaricare app solo da fonti ufficiali come il Google Play Store, evitando file APK da siti non verificati
- tenere aggiornati sia il sistema operativo che le app bancarie, così da beneficiare di eventuali patch di sicurezza
- evitare di concedere autorizzazioni non strettamente necessarie, soprattutto a strumenti sconosciuti o app appena installate
- attivare l’autenticazione a due fattori e monitorare con regolarità i movimenti bancari, anche minimi
- utilizzare sistemi di accesso biometrici per evitare digitazioni dirette delle crdenziali
Insomma, la nuova versione di Godfather alza ulteriormente l’asticella della sofisticazione dei malware bancari su Android, e dimostra ancora una volta quanto sia fondamentale non abbassare mai la guardia, anche quando si pensa di avere a che fare con app legittime.
- Milioni di dispositivi Android economici infettati dal malware BadBox
- Questo malware Android inserisce contatti falsi in rubrica fingendosi la vostra banca
- Disinstallate queste app dai vostri dispositivi Android, contengono un malware
- Un insidioso malware è preinstallato su dispositivi Android contraffatti