Poderoso malware tiene como objetivo a bancos y exchanges de criptomonedas
El persistente malware llamado Android Godfather había desaparecido de la escena durante unos meses. Desafortunadamente, tenemos malas noticias: el malware ha aparecido y viene con más fuerza, cuyo objetivo podría ser más de 400 instituciones financieras a nivel internacional.
Este virus, de tipo troyano, se encarga de generar páginas de inicio de sesión falsas para recolectar detalles de inicio de sesión de los clientes, pero esto es solo el comienzo de lo que puede hacer. El virus Android Godfather también imita las herramientas de seguridad que vienen preinstaladas en los smartphones, que son propiedad de Google, todo esto para obtener el control total de cualquier dispositivo.
Este troyano fue descubierto por la empresa de análisis de malware llamada Group I-B, en donde los primeros indicios maliciosos aparecieron en el mes de junio del año 2021. Entre los expertos existe la creencia de que Android Godfather surgió de otro hacker de bancos, llamado Anubis. El malware Godfather estuvo circulando a bajo nivel hasta el mes de junio del año pasado, cuando lo dieron por desaparecido.
Ante este escenario, los especialistas estaban sospechando que los hackers involucrados estaban desarrollando y poniendo a punto una nueva versión de este malware. Es por ello que Godfather regresó en busca de venganza el pasado mes de septiembre, teniendo como objetivo a nada menos que más de 400 instituciones financieras, más de 200 bancos internacionales, 100 billeteras de criptomonedas y más de 100 exchanges de criptomonedas.
Cuando este malware logra instalarse en un dispositivo, va a generar páginas de inicio de sesión falsas, las cuales pueden emplearse para obtener nombres de usuario y contraseñas. Múltiples bancos y empresas de criptomonedas tienen inicios de sesión con requisitos adicionales, pero es allí en donde otros recursos de Android Godfather resultan bastante útiles.
Después de instalarse, el malware se hace pasar por una alerta de Google Play Protect. Cuando se piensa que se trata de una ventana emergente y legítima del sitio de seguridad predeterminado que tienen todos los dispositivos de Android, los usuarios pueden otorgar el control de la accesibilidad al malware.
A partir de este momento, Android Godfather puede grabar y hacer capturas de pantalla, leer SMS, enviar notificaciones falsas, hacer llamadas y otras cosas más. Incluso, puede hacer todo lo necesario para robar datos de una cuenta bancaria o bóveda de cifrado y, finalmente, comprometerlas.
Si quieres mantener tus dispositivos seguros y con una protección de primer orden, TIC Defense cuenta con las soluciones adecuadas para tu empresa. Nuestros especialistas desarrollan servicios y herramientas con tecnología de punta con el fin de evitar y responder rápidamente a todo tipo de amenazas cibernéticas.
Además, los especialistas en ciberseguridad de la firma Group I-B manifiestan que el malware está propagándose a través de apps de señuelo en la Google Play Store. Agregaron que no saben quién desarrollo el malware y quiénes se están beneficiando de él, aunque sospechan que pueden ser grupos de hackers rusos.
Esta sospecha se debe a que existe un interruptor de apagado en dicho malware, el cual verifica la configuración de Android. Si el malware determina que el idioma predeterminado es uno de los que se habla en Rusia o en las antiguas repúblicas soviéticas, con excepción de Ucrania, el malware se apagará en vez de robar datos. No es una prueba definitiva, pero es bastante sospechoso.
