安卓惡意軟體GodFather濫用虛擬化機制挾持銀行、加密貨幣App的帳密

為了在安卓手機上能竊取機密資料，許多惡意軟體通常會透過覆蓋畫面等手法引誘使用者上當，但如今出現更複雜的手段，用戶更難察覺有異。

行動裝置資安業者Zimperium揭露名為GodFather的金融木馬，此惡意程式對全球近500款銀行應用程式的用戶而來，主要集中對土耳其下手。這款惡意軟體與過往的金融木馬最大的不同，就是採用一種進階的裝置端虛擬化技術（On-device Virtualization），而能挾持數種合法的應用程式，其中包含行動銀行及加密貨幣相關的App。

由於這種新手法是在受害裝置建立完整的、隔離的虛擬化環境，有別於一般惡意程式是藉由偽造的登入畫面來騙取帳密資料，此惡意軟體能在受害手機部署帶有虛擬化框架的惡意「主機」應用程式，並用來下載真實的行動銀行與加密貨幣App，然後透過攻擊者的沙箱環境執行。一旦受害者啟用手機裡的正牌應用程式，攻擊者就會將他們重新導向虛擬化環境的另一個App，使得這些用戶的一舉一動，包含點選、輸入的資料內容，都受到GodFather的監控。

相較於過往金融木馬等惡意程式，這種虛擬化手法能讓攻擊者完全了解應用程式的處理程序，進而即時攔截帳密資料與敏感資料；再者，攻擊者不僅能遠端控制GodFather，還能藉由掛鉤（Hooking）框架竄改虛擬化版本的行為，從而有效地繞過資安檢查機制。

除此之外，駭客也使用了其他迴避偵測手法，其中一種是操弄ZIP壓縮檔，將程式碼移轉到Java層，而能讓靜態分析工具無法察覺有異。

針對這起攻擊行動的發現，研究人員指出類似濫用虛擬化的手法並非首例，其中一個是2023年底出現的惡意程式FjordPhantom，駭客為了迴避偵測，他們在容器環境執行惡意程式碼。但這次GodFather的手段更為可怕，因為使用者操作的是正牌應用程式，不僅無法從操作畫面察覺異常，許多資安防護機制也難以識別這種惡意行為，研究人員認為，這嚴重破壞了人們對行動應用程式之間的信任。