Il ritorno del malware Godfather: app bancarie Android a rischio

Mai come oggi, la sicurezza informatica è stata messa alla prova da minacce sofisticate e insidiose. Un esempio emblematico è il trojan bancario noto come Godfather, che ha raggiunto nuovi livelli di complessità nel panorama, dimostrando un’evoluzione notevole nel corso degli anni. Questo malware, attivo dal 2021 e identificato come evoluzione del trojan Anubis, ha subito una trasformazione strategica, passando da semplici overlay di login a tecniche avanzate di virtualizzazione Android.

Secondo una ricerca condotta da Zimperium, il malware è stato sviluppato da programmatori di lingua russa e si distingue per la capacità di creare un ambiente virtuale parallelo all’interno degli smartphone infetti. Utilizzando framework come VirtualApp o Xposed, Godfather genera una sandbox nascosta, in cui replica fedelmente l’interfaccia utente di app bancarie e di criptovalute. L’utente, ignaro dell’infezione, interagisce con un ambiente che appare autentico, rendendo l’attacco estremamente difficile da rilevare.

Godfather: la virtualizzazione Android è un’arma a doppio taglio

Il punto di forza di questo trojan risiede nell’uso innovativo della virtualizzazione. Attraverso la creazione di un ambiente virtuale, il malware può eseguire copie delle applicazioni legittime, mantenendo inalterata l’esperienza utente.

Il malware sfrutta inoltre i servizi di accessibilità di Android e inserisce hook nelle librerie di rete Java, monitorando ogni interazione dell’utente. Queste tecniche gli permettono di intercettare credenziali, codici di autenticazione via SMS e persino manipolare in tempo reale le comunicazioni tra le app e i server. La capacità di controllare il dispositivo da remoto rappresenta una delle sfide più grandi per la comunità della sicurezza informatica.

La campagna attuale di Godfather interessa circa 500 applicazioni a livello globale, con un focus particolare su 12 istituti bancari turchi e diverse piattaforme fintech, social media e di e-commerce. Gli esperti di Zimperium, Fernando Ortega e Vishnu Pratapagiri, evidenziano come questa evoluzione rappresenti un punto di svolta nel panorama dei malware nel settore mobile. La combinazione di virtualizzazione, controllo remoto e capacità di rimanere nascosto rende questo trojan uno degli strumenti di attacco più pericolosi mai sviluppati.