Un grupo de investigadores identificó una variante más sigilosa del malware GodFather, que utiliza código nativo y acciones automatizadas para atacar hasta 500 aplicaciones bancarias y de criptomonedas.
“La última versión del malware GodFather muestra lo peligrosas y adaptables que se han vuelto las amenazas móviles”, dijeron los investigadores. “Al pasar al código nativo y usar menos permisos, los atacantes han hecho que GodFather sea más difícil de analizar y mejor para robar información confidencial de aplicaciones bancarias y de criptomonedas”.
El malware GodFather agrega países a sus objetivos
Los investigadores de Cyble Research and Intelligence Labs (CRIL) señalaron que el malware ha agregado a Japón, Singapur, Grecia y Azerbaiyán entre sus países objetivo. Ya circulaba en Reino Unido, Estados Unidos, Turquía, España e Italia.
La implementación anterior del código Java se ha trasladado al código nativo para sus actividades maliciosas, y el malware ahora depende de permisos limitados, «dependiendo en gran medida de los servicios de accesibilidad para capturar credenciales de aplicaciones específicas», de acuerdo con los investigadores.
Los comandos para operaciones de datos de servicios complementarios no estructurados y SMS se han eliminado de la última versión, y el malware no tiene permiso para recopilar o enviar mensajes SMS desde dispositivos infectados. En cambio, los comandos recién agregados se centran principalmente en automatizar acciones en dispositivos infectados.
Los nuevos comandos del malware GodFather “permiten al malware automatizar gestos en los dispositivos infectados, imitando las acciones del usuario”, afirma el blog de CRIL.
“Con sus nuevas acciones automatizadas y su mayor alcance en aplicaciones de más países, este malware representa un riesgo creciente para los usuarios de todo el mundo”, agrega.
Phishing más sofisticado
Los investigadores también observaron que una vez que GodFather encuentra una aplicación de destino, como una aplicación bancaria o de criptomonedas, la cierra y carga una página de inicio de sesión falsa para robar las credenciales. Posteriormente, el malware cierra la aplicación genuina si un usuario desprevenido intenta interactuar con la aplicación de destino.
En lugar de eso, implementa una URL de inicio de sesión bancaria o de criptomonedas falsa en WebView o muestra una pantalla en blanco para interceptar el intento de inicio de sesión y recopilar las credenciales proporcionadas.
Los entusiastas de las criptomonedas y los usuarios de aplicaciones bancarias ahora deben estar más atentos a la hora de detectar aplicaciones sospechosas para evitar ser víctimas de ataques de malware como GodFather.
La recomendación es seguir buenas prácticas de seguridad, como instalar aplicaciones solo desde tiendas de aplicaciones oficiales como Google Play Store o iOS App Store, mantener actualizados los dispositivos y las aplicaciones, utilizar antivirus, contraseñas seguras, biometría y autenticación de dos pasos.
Puedes seguir leyendo: Los ETF de Ethereum alcanzan un hito sin precedentes, descubre cuál
