Un malware llamado Godfather roba datos de apps bancarias en España
Usuarios de Android de 16 países de todo el mundo, incluido España, están siendo atacados por un malware bancario llamado «Godfather» («Padrino»), capaz de robar credenciales de cuentas de más de 400 aplicaciones bancarias y criptográficas diferentes.
Descubierto por primera vez por ThreatFabric en marzo del año pasado, el troyano Godfather se ha actualizado y mejorado significativamente desde entonces, según un nuevo informe.
Desde que apareció por primera vez el año pasado, Godfather ha atacado a usuarios de más de 400 aplicaciones, entre ellas 215 bancarias, 94 monederos de criptomonedas y 110 plataformas de intercambio de criptomonedas.
Las aplicaciones bancarias atacadas por el malware se encuentran en varios países de todo el mundo: 49 en Estados Unidos, 31 en Turquía, 30 en España, 22 en Canadá, 20 en Francia, 19 en Alemania y 17 en el Reino Unido.
¿A qué usuarios afecta?
Sorprendentemente, Group-IB encontró una línea en el código de Godfather que impide que el malware se dirija a usuarios de Rusia, así como a usuarios de países de la antigua Unión Soviética, lo que sugiere que sus creadores hablan ruso.
Una vez instalado en un teléfono Android, el malware comprueba si el idioma del sistema es ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko. Si lo es, Godfather se cierra y no intenta robar ninguna cuenta bancaria o criptográfica almacenada en el dispositivo.
¿Cómo funciona Godfather?
Una vez instalado en el teléfono Android de un usuario a través de una aplicación o archivo malicioso, Godfather intenta lograr la persistencia en el dispositivo imitando a Google Protect. Este programa legítimo se ejecuta una vez que se descarga una aplicación de Google Play Store.
Godfather dice entonces al usuario que está «escaneando» cuando, en realidad, el malware crea una notificación «Google Project» anclada y oculta su icono de la lista de aplicaciones instaladas. Esto facilita que el malware se oculte en segundo plano y dificulta su eliminación.
Como el icono de El Padrino no aparece por ninguna parte, el usuario objetivo puede seguir con sus actividades cotidianas. Sin embargo, el malware utiliza superposiciones falsas de aplicaciones bancarias y criptográficas populares para robar sus credenciales y vaciar sus cuentas.
Godfather también utiliza un truco para enviar a los usuarios a páginas de phishing. Para ello, muestra una notificación falsa que imita las aplicaciones bancarias o criptográficas instaladas en el smartphone.
Además de robar credenciales, Godfather también puede grabar la pantalla de un usuario, lanzar keyloggers para capturar sus pulsaciones, reenviar llamadas para eludir la autenticación de dos factores (2FA) y enviar mensajes SMS desde dispositivos infectados.
¿Cómo me puedo proteger de este malware?
Para protegerte de Godfather y otros programas maliciosos para Android, sólo debes instalar nuevas aplicaciones desde Google Play Store u otras tiendas de aplicaciones oficiales como Amazon App Store o Samsung Galaxy Store.
Aunque instalar aplicaciones por fuera puede ser tentador, estas pueden contener malware y otros virus, ya que no pasan por ningún control de seguridad antes de ser cargadas.
También deberías asegurarte de que Google Play Protect está activado en tu dispositivo, ya que analiza las nuevas aplicaciones y las existentes en busca de malware.
