Una nueva versión del malware para Android conocida como "Godfather" está dando un paso más allá en su forma de robar datos. Ahora puede crear una especie de entorno virtual dentro del propio teléfono, lo que le permite espiar y robar información de apps bancarias reales sin levantar sospechas.
Lo curioso (y preocupante) es que estas apps maliciosas se ejecutan dentro de ese espacio virtual controlado por el propio malware. Desde ahí, pueden ver lo que haces, capturar tus contraseñas y hasta manipular transacciones, todo mientras tú ves lo que parece ser la app legítima funcionando normalmente.
Esta técnica se parece bastante a la que usó otro malware llamado FjordPhantom a finales de 2023, que también lanzaba aplicaciones dentro de entornos virtuales para evitar ser detectado. Pero Godfather va un paso más allá.
Su alcance es mucho mayor: apunta a más de 500 apps en todo el mundo, incluyendo bancos, plataformas de criptomonedas y sitios de comercio electrónico. Utiliza todo un sistema de archivos virtual, un identificador de proceso falso y técnicas como la suplantación de intenciones para disfrazar su actividad. Incluso hace que parezca que todo está funcionando como debería, engañando tanto al usuario como a las medidas de seguridad de Android.
En resumen: tú ves la app de tu banco tal como la conoces, pero en realidad estás interactuando con una copia controlada por el malware, dentro de un entorno falso. Todo se ve normal, pero tus datos están siendo interceptados en tiempo real.
Robo de datos a través de entornos virtuales
Godfather llega como una app APK aparentemente inofensiva, pero dentro lleva todo un sistema de virtualización integrado. Para lograrlo, se apoya en herramientas de código abierto como VirtualApp y Xposed, que le permiten "engancharse" al sistema Android y controlar lo que hacen otras apps.
Cuando se activa en tu teléfono, lo primero que hace es revisar si tienes instalada alguna app bancaria u otra que le interese. Si encuentra una, no la ataca directamente. En su lugar, la mete dentro de su propio entorno virtual, una especie de espacio falso que él controla por completo. Luego, utiliza algo llamado StubActivity para lanzar esa app desde dentro de su contenedor.
¿Y qué es eso del StubActivity? Básicamente, es una especie de “pantalla vacía” que viene incluida en la app maliciosa. No tiene contenido propio ni lógica, pero sirve como un intermediario. Actúa como un disfraz: le dice a Android que está ejecutando la app legítima, cuando en realidad lo que ves en pantalla está siendo interceptado y manipulado por el malware.
Así, Godfather consigue que todo parezca normal. Tú ves la app de siempre, pero lo que no sabes es que estás dentro de un entorno falso, y cada clic, contraseña o dato que introduces está siendo vigilado y capturado.
Creación del entorno virtualizado (Fuente: Zimperium)
Cuando la víctima abre su app bancaria de siempre, Godfather ya está preparado. Gracias al permiso de accesibilidad (ese que muchas veces damos sin pensar), el malware intercepta lo que Android conoce como una "intención" (es decir, la señal que indica que se va a abrir una app) y en lugar de dejar que se abra normalmente, la redirige a una versión falsa dentro de su entorno virtual usando su StubActivity.
¿El resultado? El usuario ve la interfaz real de su banco, igualita a la original. Pero lo que no sabe es que está usando una copia controlada por el malware. Todo lo que escriba o toque puede ser capturado sin que se dé cuenta.
Usando herramientas como Xposed, Godfather engancha las funciones clave del sistema para espiar en tiempo real. Puede registrar nombres de usuario, contraseñas, PINs, toques en pantalla, e incluso las respuestas que manda el banco desde sus servidores. En otras palabras: todo lo que haces dentro de la app puede ser monitoreado y robado.
Ganchos de red utilizados por Godfather (Fuente: Zimperium)
En los momentos clave, el malware lanza una pantalla de bloqueo falsa que parece totalmente legítima. ¿El objetivo? Hacer que la víctima ingrese su PIN o contraseña sin sospechar que está siendo engañada.
Una vez que ha capturado esa información sensible, el malware espera instrucciones de sus operadores. Cuando las recibe, puede tomar el control del teléfono a distancia: desbloquear el dispositivo, moverse por la interfaz, abrir apps y hasta realizar pagos o transferencias desde la app bancaria real.
Mientras todo esto pasa, el usuario no se entera de nada. Godfather muestra una pantalla negra o un falso mensaje de “actualización” para mantener la apariencia de normalidad y que nadie sospeche lo que está ocurriendo en segundo plano.
Conoce más sobre: Hackers Cumplen su Amenaza y Filtran Datos del Club Pachuca
Una amenaza que no deja de evolucionar
Godfather no es nuevo en el mundo del malware para Android. Se tiene registro de su aparición desde marzo de 2021, y desde entonces ha ido mejorando y volviéndose cada vez más peligroso.
La versión más reciente representa un gran salto respecto a lo que se había visto en 2022. En ese entonces, este troyano ya era capaz de atacar más de 400 aplicaciones en 16 países, usando pantallas falsas de inicio de sesión (hechas en HTML) y apuntando especialmente a apps de criptomonedas y servicios financieros.
Hoy, aunque la campaña más reciente parece estar enfocada principalmente en apps bancarias falsas, no hay que confiarse. Godfather tiene capacidad para atacar más de 500 aplicaciones en todo el mundo. Eso significa que otros grupos que usen este malware podrían activarlo en distintas regiones cuando quieran, simplemente cambiando el objetivo.
¿Cómo protegerte?
-
Descarga solo desde Google Play o desde fuentes oficiales que conozcas y en las que confíes.
-
Activa Google Play Protect para tener una capa extra de protección.
-
Revisa los permisos que te piden las apps antes de instalarlas. Si algo no cuadra, mejor no seguir.
La clave está en no bajar la guardia. Este tipo de malware sigue evolucionando, y estar informado es tu mejor defensa.