移动安全公司Zimperium警告称,教父(GodFather)安卓木马通过设备端虚拟化技术劫持真实银行与加密货币应用,窃取用户资金。该恶意软件不再使用虚假覆盖层,而是在受害者设备上创建沙箱环境运行真实应用,并实时截获用户输入。
技术实现机制Zimperium zLabs实验室发现,教父木马通过篡改APK压缩包结构和Android Manifest文件(添加"$JADXBLOCK"等误导性标记)规避静态分析。其有效载荷隐藏在assets文件夹,采用基于会话的安装方式绕过限制,并利用无障碍服务监控用户输入、自动授予权限,最终通过Base64编码URL将数据外传至C2服务器。
该木马使用Virtualapp和Xposed等开源工具实施覆盖攻击,在主机容器而非安卓系统直接虚拟化应用。托管应用运行在由主机管理的沙盒文件系统中,通过com.heb.reb:va_core进程执行,使木马能够挂钩API、窃取数据并保持隐蔽。
攻击流程详解环境构建阶段:扫描受害者手机中的特定银行应用,在隐蔽虚拟空间下载安装Google Play组件数据克隆阶段:将合法应用的包名、安全细节等关键数据复制至package.ini等特殊文件流量劫持阶段:当用户尝试打开真实银行应用时,将其重定向至虚拟空间内的伪造版本信息窃取阶段:通过安卓无障碍服务和代理工具实时捕获用户输入的所有凭证信息技术突破点Zimperium报告指出:"这种虚拟化技术使攻击者获得三大优势:在受控环境中运行合法应用实现全流程监控;通过远程控制修改虚拟化应用行为绕过root检测等安全检查;由于用户始终与真实应用交互,使得攻击具有完美欺骗性。"
该木马还采用以下高级技术:
针对不同应用定制Xposed框架攻击模块,重点拦截通过OkHttpClient库的网络连接挂钩Android的getEnabledAccessibilityServiceListAPI返回空列表以规避检测通过伪造锁屏界面窃取PIN码/密码/图案等凭证影响范围与功能教父木马采用模块化指令系统,支持:
模拟手势操作操控屏幕元素窃取484款流行应用的敏感数据,包括:欧美及土耳其的银行金融应用加密货币钱包与交易所电商、网约车、外卖及流媒体平台社交媒体与通讯软件Zimperium强调:"虽然攻击面覆盖全球近500款应用,但当前主要针对十余家土耳其金融机构。其技术复杂度已超越2024年11月Cyble报告的FjordPhantom等已知样本。"
参考来源:
Godfather Android trojan uses virtualization to hijack banking and crypto apps