Un malware bancario para Android ha robado las credenciales de cuenta de más de 400 sitios de banca online y de intercambios de criptomonedas en un total de 16 países, entre los que se encuentra España. Puede que lo hayas instalado sin darte cuenta, así que esta información te interesa.
Este nuevo virus para Android se llama GodFather y podría haberte atacado creando pantallas de inicio de sesión superpuestas en la parte superior de los formularios de inicio de sesión de la app de tu banca o intercambio de criptomonedas al intentar iniciar sesión. Podría robarte tu dinero o criptomonedas.
Si lo tienes en tu móvil, puede que te haya robado los datos cuando intentabas entrar en tu cuenta porque su especialidad es engañar a sus víctimas para que ingresen sus credenciales en páginas HTML bien diseñadas con la apariencia de la web real. Así que cuidado, vigila tus cuentas y lo que instalas en el móvil.
Se descubre el nuevo virus bancario en Android
Este nuevo troyano llamado Godfather fue descubierto por los analistas de Group-IB, que creen que es el sucesor de Anubis, un famoso troyano bancario que acabó dejándose de lado porque no era capaz de eludir las nuevas defensas del sistema operativo Android.
ThreatFabric descubrió a Godfather por primera vez en marzo de 2021, aunque ahora ha experimentado nuevas mejoras y actualizaciones de código masivas. De hecho, Cyble publicó un informe que destaca un aumento en la actividad de Godfather.
Una de sus acciones más sonadas ha sido la app que imita una herramienta de música popular en Turquía que ha sido descargada 10 millones de veces en Google Play. Pero ahora además está afectando a usuarios de bancos de todo el mundo.
Group-IB ha encontrado una distribución limitada del malware en apps en Google Play Store, sin que se hayan descubierto los principales canales de distribución, por lo que se desconoce el método de infección inicial y lo hace todavía más peligroso. Así, las apps a las que se dirige este nuevo virus son bancarias en España, Estados Unidos, Turquía, Francia, Canadá, Italia y Reino Unido.
También afecta a 94 apps de billeteras de criptomonedas y 110 plataformas de intercambio de estas criptodivisas.
El virus se ha configurado para comprobar el idioma del sistema, y si se encuentra configurado en ciertos idiomas detiene su funcionamiento. Estos son ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko. Sí afecta a usuarios con idioma español.
Un análisis de la infraestructura de red del troyano reveló un dominio que contiene la dirección C&C de una aplicación de Android. No se pudp obtener la carga útil, pero creen que este descargador instala Godfather en los dispositivos infectados. El dominio pluscurrencyconverter.com es la dirección С&C de la aplicación de descarga.
Cómo funciona este nuevo troyano
Una vez que se ha instalado, imita la herramienta de seguridad Google Protect y emula la acción de escaneo en el móvil. Después solicita el acceso al Servicio de Accesibilidad aparentando ser una app legítima. Si apruebas este permiso, tendrá acceso a todo lo que necesita para llevar a cabo su comportamiento malicioso.
Así, tendrá acceso a notificaciones, SMS, contactos, grabación de pantalla, llamadas, almacenamiento externo y estado del dispositivo. Asimismo, abusa de este servicio para evitar que elimines el troyano y puede robar tus credenciales en diferentes servicios.
Godfather extrae una lista de aplicaciones instaladas para recibir inyecciones coincidentes (formularios de inicio de sesión HTML falsos para robar credenciales) del servidor C2. Imita los inicios de sesión de las apps legítimas instaladas para robar tus datos. También puede hacer notificaciones falsas de estas apps para que entres en su página de phishing sin esperar a que abras la app.
Si hay apps que no están en la lista, puede usar la grabación de pantalla para capturar tus credenciales cuando las ingreses. Puede realizar muchas acciones que te perjudiquen como habilitar el modo silencioso, bloquear tu pantalla, bloquear notificaciones, el registro de teclas y otras. Todo para captar la mayor cantidad de víctimas posibles.
¡Protégete!
Godfather es un troyano peligroso con una gran cantidad de funciones y posibilidades que podría basarse en el código de Anubis y se dirige a una gran cantidad de usuarios de Android y apps de todo el mundo.
Si quieres protegerte, descarga solo apps desde la tienda de aplicaciones oficiales, comprueba los permisos que das, instala un antivirus, ten tu móvil y sus aplicaciones siempre actualizadas, activa Play Protect y extrema las precauciones al máximo.