Un malware de Android llamado 'Godfather' ha intentado robar credenciales de más de 400 apps de bancos y 'exchanges' con 'phishing' muy sofisticado

Un malware bancario que responde al nombre de Godfather ha estado intentando robar credenciales de cuenta de más de 400 portales de banca en línea e intercambios de criptomonedas a usuarios de 16 países. 

El programa genera una ventana de inicio de sesión muy bien diseñada para que los usuarios metan sus credenciales en el portal y se despidan de sus datos personales. 

El troyano Godfather ha sido descubierto por los analistas de Group-IB quienes creen que es el sucesor de Anubis, un troyano bancario que se usó hace años, pero se descartó porque no era capaz de saltarse la seguridad de Android. 

Tal y como apuntan desde Bleeping Computer se detectó a Godfather en marzo de 2021 y desde ese momento empezó a crecer con múltiples mejoras y actualizaciones de código masivas. 

La investigación de Group-IB ha mostrado una distribución limitada del malware en apps de Google Play Store, pero de momento no han dado con el principal canal de distribución del virus. 

Actualmente, casi la mitad de las apps a las que se dirige Godfather son aplicaciones bancarias y la gran mayoría Estados Unidos (49), Turquía (31), España (30), Canadá (22), Francia (20), Alemania (19), y el Reino Unido (17).

Además de las aplicaciones bancarias, Godfather apunta a 110 plataformas de intercambio de criptomonedas y 94 aplicaciones de billetera de criptomonedas.

Curiosamente, el troyano está configurado para comprobar el idioma del sistema y, si está configurado en ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko, detiene su funcionamiento.

Mucho cuidado: si utilizas una contraseña de esta lista eres una diana perfecta de un ciberataque

Esto puede suponer que los autores de Godfather son rusos y posiblemente residen en la región de la CEI (Comunidad de Estados Independientes).

Su método de actuación es muy peligroso.

Una vez se instala Godfather en el dispositivo, el malware imita a Google Protect, una herramienta de seguridad estándar que se encuentra en todos los dispositivos Android, e incluso es capaz de emular una acción de escaneo del dispositivo. 

Su objetivo principal es acceder al Servicio de Accesibilidad y cuando el usuario otorga los permisos, empieza todo el proceso. 

Estos permisos dan acceso a mensajes de texto, notificaciones, grabación de pantalla, contactos, hacer llamadas, escribir y leer el estado del dispositivo.

Además, es capaz de saltarse Google Authenticator, exfiltre las OTP (contraseñas de un solo uso), procese comandos y robe el contenido de los campos PIN y contraseña. 

El malware también es capaz de generar notificaciones falsas de apps instaladas para llevar al usuario a una web de phishing para que introduzca sus credenciales.