Descubrimiento y evolución de Godfather

Un equipo de expertos en ciberseguridad de Zimperium ha detectado una variante actualizada del malware bancario Godfather. Este software malicioso, identificado en diciembre de 2022, tenía como objetivo el robo de credenciales de acceso en aplicaciones bancarias y otros servicios financieros de dispositivos Android. Inicialmente, los atacantes aprovecharon el código fuente del virus bancario Anubis, utilizando el modelo de malware-as-a-service (MaaS) para propagar el malware y superponer ventanas falsas en los móviles infectados.

---

Técnicas avanzadas de ataque

La nueva versión de Godfather ha evolucionado significativamente. Ahora, el malware es capaz de generar entornos virtuales aislados en los dispositivos Android, simulando aplicaciones bancarias reales para interceptar y robar las contraseñas de los usuarios. Según Zimperium, el ataque se ha vuelto más sofisticado y difícil de detectar, ya que el malware imita fielmente las aplicaciones bancarias instaladas en el teléfono de la víctima.

---

Cómo opera el malware

Cuando Godfather infecta un dispositivo Android, instala una aplicación host maliciosa equipada con un marco de virtualización. Este sistema permite crear y controlar un entorno virtual completo y aislado. Tras analizar las aplicaciones instaladas en el móvil, el host descarga y ejecuta una copia de la app bancaria. Cuando el usuario intenta acceder a su banco, el malware redirige la acción a la versión virtualizada, capturando en tiempo real cada dato introducido sin que la víctima lo note.

---

Alcance y consecuencias

Godfather ha logrado infectar cerca de 500 aplicaciones Android en todo el mundo, con especial énfasis en una docena de instituciones financieras de Turquía. Los investigadores advierten que este malware pone en riesgo la confianza de los usuarios en sus aplicaciones móviles, transformando el dispositivo en un entorno inseguro donde incluso las apps legítimas pueden ser utilizadas para el espionaje y el robo.