移动安全公司Zimperium警告称,教父(GodFather)安卓木马通过设备端虚拟化技术劫持真实银行与加密货币应用,窃取用户资金。该恶意软件不再使用虚假覆盖层,而是在受害者设备上创建沙箱环境运行真实应用,并实时截获用户输入。
技术实现机制
Zimperium zLabs实验室发现,教父木马通过篡改APK压缩包结构和Android Manifest文件(添加"$JADXBLOCK"等误导性标记)规避静态分析。其有效载荷隐藏在assets文件夹,采用基于会话的安装方式绕过限制,并利用无障碍服务监控用户输入、自动授予权限,最终通过Base64编码URL将数据外传至C2服务器。
该木马使用Virtualapp和Xposed等开源工具实施覆盖攻击,在主机容器而非安卓系统直接虚拟化应用。托管应用运行在由主机管理的沙盒文件系统中,通过com.heb.reb:va_core进程执行,使木马能够挂钩API、窃取数据并保持隐蔽。
攻击流程详解
- 环境构建阶段:扫描受害者手机中的特定银行应用,在隐蔽虚拟空间下载安装Google Play组件
- 数据克隆阶段:将合法应用的包名、安全细节等关键数据复制至
package.ini等特殊文件 - 流量劫持阶段:当用户尝试打开真实银行应用时,将其重定向至虚拟空间内的伪造版本
- 信息窃取阶段:通过安卓无障碍服务和代理工具实时捕获用户输入的所有凭证信息
技术突破点
Zimperium报告指出:"这种虚拟化技术使攻击者获得三大优势:在受控环境中运行合法应用实现全流程监控;通过远程控制修改虚拟化应用行为绕过root检测等安全检查;由于用户始终与真实应用交互,使得攻击具有完美欺骗性。"
该木马还采用以下高级技术:
- 针对不同应用定制Xposed框架攻击模块,重点拦截通过OkHttpClient库的网络连接
- 挂钩Android的
getEnabledAccessibilityServiceListAPI返回空列表以规避检测 - 通过伪造锁屏界面窃取PIN码/密码/图案等凭证
影响范围与功能
教父木马采用模块化指令系统,支持:
- 模拟手势操作
- 操控屏幕元素
- 窃取484款流行应用的敏感数据,包括:
- 欧美及土耳其的银行金融应用
- 加密货币钱包与交易所
- 电商、网约车、外卖及流媒体平台
- 社交媒体与通讯软件
Zimperium强调:"虽然攻击面覆盖全球近500款应用,但当前主要针对十余家土耳其金融机构。其技术复杂度已超越2024年11月Cyble报告的FjordPhantom等已知样本。"