Zimperium zLabs揭示了GodFather恶意软件的高级虚拟化技术，该技术可劫持手机银行和加密货币应用程序。

Zimperium zLabs的网络安全研究人员（由Fernando Ortega和Vishnu Pratapagiri领导）发现了GodFather Android恶意软件的一个危险新版本，该恶意软件使用一种名为设备虚拟化的高级技术来控制合法的移动应用程序。它尤其针对银行和加密货币应用程序，有效地将你的设备变成间谍。

该恶意软件不仅会显示虚假图像，还会安装一个隐藏的主机应用程序，该应用程序会在自身控制的空间（即沙盒）内下载并运行你的银行或加密货币应用程序的真实副本。当你尝试打开实际应用程序时，恶意软件会将你重定向到这个虚拟版本。

然后，恶意软件会实时监控并控制你的每一个操作、点击和输入的每一个字词，让你几乎不可能察觉到任何异常，因为你只是在一个被操纵的环境中与真实的应用程序交互。这种复杂的技术允许攻击者获取用户名、密码和设备PIN码，从而完全控制你的账户。

这种方法为攻击者提供了巨大的优势。他们可以在你输入敏感数据时窃取数据，甚至改变应用程序的运行方式，绕过包括检测手机root权限在内的安全检查。值得注意的是，GodFather银行恶意软件是通过重新利用VirtualApp和XposedBridge等多个合法开源工具来构建的，以执行欺骗性攻击并逃避检测。

GodFather虽然采用了先进的虚拟化技术，但也继续使用传统的覆盖攻击，将欺骗性屏幕直接覆盖在合法应用程序上。这种双重攻击方式展现了威胁行为者非凡的攻击手段调整能力。

根据该公司的博客文章，GodFather Android恶意软件活动范围广泛，针对全球484款应用程序，尽管此次高度先进的虚拟化攻击目前主要针对12家特定的土耳其金融机构。其影响范围不仅包括银行和加密货币平台，还包括主要的全球支付、电子商务、社交媒体和通信服务。

该恶意软件还会使用一些巧妙的技巧来避免被安全工具发现。它会改变APK文件（Android应用包）的打包方式，篡改其结构使其看起来像是加密的，或者添加类似 的误导性信息$JADXBLOCK。它还将大量有害代码移至应用程序的Java部分，并通过添加无关信息使其Android清单文件更难读取。

进一步调查显示，GodFather仍在利用Android的无障碍服务（旨在帮助残障用户）诱骗用户安装其应用程序的隐藏部分。它会使用诸如“您需要获得权限才能使用应用程序的所有功能”之类的欺骗性消息，一旦获得无障碍权限，它就可以在用户不知情的情况下秘密授予自己更多权限。

此外，该恶意软件会以编码形式隐藏其重要信息，例如连接到控制服务器(C2)的位置，使其更难追踪。一旦激活，它会将您的屏幕详细信息发送给攻击者，让他们可以实时查看您的设备。因此，这一发现凸显了移动安全领域持续面临的挑战，因为威胁正变得越来越复杂，越来越难以发现。

Bugcrowd创始人Casey Ellis表示：“这绝对是一种新颖的技术，我能看到它的潜力。观察它在野外的实际效果如何，看看威胁行为者是否会将其部署到土耳其以外的地方，以及其他威胁行为者是否会尝试复制类似的方法，都将会非常有趣。”