GodFather: o malware que transforma seu celular Android em uma armadilha invisível

Uma nova versão do malware GodFather preocupa especialistas em segurança digital. O motivo? Ele usa uma técnica avançada de virtualização dentro do próprio celular da vítima. Em vez de simular a tela de um aplicativo, como ocorre em golpes comuns, o GodFather cria uma cópia real do seu aplicativo bancário ou de criptomoedas e executa tudo dentro de um ambiente controlado pelos criminosos sem que o usuário perceba.

Como o malware funciona

A ameaça identificada pelos pesquisadores da Zimperium zLabs não se limita a imitar telas de login como faziam os malwares antigos. O GodFather vai muito além: ele cria um ambiente virtual dentro do próprio celular da vítima, como se fosse um “celular paralelo” funcionando por trás da interface normal.

Para isso, o malware instala um aplicativo malicioso que carrega uma estrutura especial chamada de virtualização. Essa estrutura permite que o vírus baixe e rode uma cópia real do aplicativo do banco ou da carteira de criptomoedas, dentro desse ambiente isolado, sem que o usuário perceba.

Na prática, quando o usuário abre o aplicativo bancário, ele é redirecionado automaticamente para essa versão controlada dentro do sistema do vírus. Tudo parece funcionar normalmente, mas o que está sendo exibido é a cópia virtualizada, onde cada clique, senha ou toque na tela é monitorado em tempo real pelo criminoso.

Roubo de senhas da tela de bloqueio

Além de capturar dados dos aplicativos, o GodFather também consegue enganar o usuário logo na tela de bloqueio do celular. Ele exibe uma tela falsa, idêntica à original, pedindo o padrão, PIN ou senha. Quando o usuário digita, o malware grava essa informação e a envia ao invasor. Ou seja, mesmo que o celular esteja protegido por bloqueio, essa técnica permite ao criminoso obter acesso completo ao aparelho.

Aplicativos mais visados

A campanha criminosa com o GodFather atinge  grande variedade de apps. Veja as principais categorias:

• Aplicativos bancários e financeiros: praticamente todos os grandes bancos dos EUA, Europa, Canadá e Turquia estão na lista. O malware também mira apps de pagamentos, investimentos e transferências entre pessoas;
• Carteiras e corretoras de criptomoedas: mais de 100 aplicativos ligados a ativos digitais estão entre os alvos. Isso inclui apps de exchanges, carteiras digitais e até softwares que acompanham carteiras de hardware;
• Apps de mensagens e redes sociais: o GodFather também tenta capturar dados de apps de mensagens populares e redes com bilhões de usuários, como mensageiros criptografados e redes sociais baseadas em fotos;
• Serviços on-line e comércio eletrônico: a lista inclui apps de compras, delivery, mobilidade, streaming e outros serviços com grande volume de uso diário.

Como o malware entra no celular

A principal porta de entrada do malware continua sendo a instalação de aplicativos fora da loja oficial do Android (Google Play). Depois que a vítima instala o app infectado, ele solicita permissões de acessibilidade e começa a agir em segundo plano. Em muitos casos, o aplicativo pode parecer legítimo, com ícone e nome semelhantes aos de apps reais.

Entre as táticas usadas pelo GodFather para driblar a detecção, estão:

• Alterações no formato dos arquivos de instalação (APK);
• Ofuscação do código para esconder comandos maliciosos;
• Movimentação do código para a camada Java, tornando mais difícil a análise por antivírus;
• Instalação disfarçada por mensagens como "Você precisa permitir o uso completo do aplicativo".

O que fazer para se proteger

• Evite instalar apps fora da Play Store;
• Desconfie de aplicativos que pedem acesso aos serviços de acessibilidade sem justificativa clara;
• Use autenticação em duas etapas em todos os apps importantes;
• Tenha um antivírus confiável no celular;
• Mantenha o sistema e os aplicativos atualizados.

A nova técnica é uma das mais sofisticadas já vistas e mostra como até os aplicativos legítimos podem se transformar em ferramentas de espionagem quando executados em um ambiente malicioso, e serve de alerta para redobrar a atenção ao usar qualquer app sensível no celular.