Godfather Kembali dengan Kekuatan Baru

Versi baru dari malware Android “Godfather” menciptakan lingkungan virtual terisolasi pada perangkat seluler untuk mencuri data akun dan transaksi dari aplikasi perbankan yang sah.

Aplikasi berbahaya ini dieksekusi di dalam lingkungan virtual yang terkontrol pada perangkat, memungkinkan pengintaian real-time, pencurian kredensial, dan manipulasi transaksi sambil mempertahankan penipuan visual yang sempurna.

Taktik ini menyerupai yang terlihat pada malware Android FjordPhantom pada akhir tahun 2023, yang juga menggunakan virtualisasi untuk mengeksekusi aplikasi bank SEA di dalam kontainer guna menghindari deteksi.

Namun, cakupan penargetan Godfather jauh lebih luas, menargetkan lebih dari 500 aplikasi perbankan, cryptocurrency, dan e-commerce di seluruh dunia menggunakan sistem file virtual lengkap, ID Proses virtual, intent spoofing, dan StubActivity.

Menurut peneliti yang menganalisisnya, tingkat penipuan yang sangat tinggi. Pengguna melihat antarmuka pengguna aplikasi asli, dan perlindungan Android melewatkan aspek operasi berbahaya, karena hanya aktivitas aplikasi host yang dideklarasikan dalam manifest.

Pencurian Data Virtualisasi

Godfather Kembali dengan Kekuatan Baru — Credit image: Freepix

Godfather hadir dalam bentuk aplikasi APK yang berisi kerangka kerja virtualisasi tertanam, memanfaatkan alat open-source seperti mesin VirtualApp dan Xposed untuk hooking.

Setelah aktif di perangkat, ia memeriksa aplikasi target yang terinstal, dan jika ditemukan, ia menempatkannya di dalam lingkungan virtualnya dan menggunakan StubActivity untuk meluncurkannya di dalam host container.

StubActivity adalah aktivitas placeholder yang dideklarasikan dalam aplikasi yang menjalankan mesin virtualisasi (malware) yang bertindak sebagai shell atau proxy untuk meluncurkan dan menjalankan aktivitas dari aplikasi virtualisasi.

Ini tidak berisi UI atau logika sendiri, dan sebagai gantinya, mendelegasikan perilaku ke aplikasi host, menipu Android agar berpikir bahwa aplikasi sah sedang dijalankan sementara sebenarnya mencegat dan mengendalikannya.

Ketika korban meluncurkan aplikasi perbankan asli, izin layanan aksesibilitas Godfather mencegat ‘Intent’ dan mengarahkannya ke StubActivity di dalam aplikasi host, yang memulai versi virtual aplikasi perbankan di dalam kontainer.

Pengguna melihat antarmuka aplikasi asli, tetapi semua data sensitif yang terlibat dalam interaksi mereka dapat dengan mudah dibajak.

Dengan menggunakan Xposed untuk API hooking, Godfather dapat merekam kredensial akun, kata sandi, PIN, peristiwa sentuhan, dan menangkap respons dari backend perbankan.

Malware ini menampilkan overlay layar kunci palsu pada saat-saat penting untuk mengelabui korban agar memasukkan PIN/kata sandi mereka.

Setelah mengumpulkan dan mengeksfiltrasi semua data tersebut, ia menunggu perintah dari operator untuk:

Membuka kunci perangkat.
Melakukan navigasi UI.
Membuka aplikasi.
Dan memicu pembayaran/transfer dari dalam aplikasi perbankan asli.

Selama ini, pengguna melihat layar “pembaruan” palsu atau layar hitam agar tidak menimbulkan kecurigaan mereka.

Ancaman yang Berkembang

Godfather pertama kali muncul di ruang malware Android pada Maret 2021, sebagaimana ditemukan oleh ThreatFabric, dan telah mengikuti lintasan evolusi yang mengesankan sejak saat itu.

Versi Godfather terbaru merupakan evolusi signifikan dari sampel terakhir yang dianalisis oleh Group-IB pada Desember 2022, yang menargetkan 400 aplikasi dan 16 negara menggunakan overlay layar login HTML di atas aplikasi perbankan dan bursa crypto.

Meskipun kampanye yang ditemukan hanya menargetkan selusin aplikasi bank Turki, operator Godfather lainnya dapat memilih untuk mengaktifkan subset lain dari 500 aplikasi yang ditargetkan untuk menyerang berbagai wilayah.

Untuk melindungi diri Anda dari malware ini, hanya unduh aplikasi dari Google Play atau APK dari penerbit yang Anda percaya, pastikan Play Protect aktif, dan perhatikan izin yang diminta.

Baca artikel lainnya: