Las versiones virtuales de aplicaciones legítimas son casi imposible de detectar
A medida que el malware evoluciona y se vuelve más sofisticado, ver no siempre es igual a creer. Una nueva versión del malware "El Padrino (Godfather)", presente en Android, está secuestrando aplicaciones bancarias legítimas, lo que dificulta cada vez más su detección por parte de los usuarios (y de las protecciones del dispositivo).
Una versión temprana de Godfather utilizaba ataques de superposición de pantalla, que colocaban pantallas de inicio de sesión HTML fraudulentas sobre aplicaciones bancarias y de intercambio de criptomonedas legítimas, engañando a los usuarios para que ingresaran credenciales para sus cuentas financieras. Se detectó por primera vez en Android en 2021 y se estimó que afectaba a varios cientos de aplicaciones en más de una docena de países.
La nueva amenaza, descubierta por la empresa de seguridad Zimperium, es la virtualización de Godfather, que permite al malware crear en el dispositivo un entorno virtual completo en lugar de simplemente falsificar una pantalla de inicio de sesión. Esto se hace instalando una aplicación "host" maliciosa que busca aplicaciones financieras específicas y luego descarga copias que pueden ejecutarse en su entorno virtual.
Si abres una de esas aplicaciones específicas, Godfather te redirige a la versión virtual. Verás la interfaz bancaria real, pero todo lo que ocurre dentro puede ser interceptado y manipulado en tiempo real.
Como señala Bleeping Computer, esto incluye la recopilación de credenciales de cuenta, contraseñas y PIN, así como la captura de respuestas del backend del banco. Además, el malware puede controlar tu dispositivo de forma remota, lo que incluye iniciar transferencias y pagos dentro de la aplicación bancaria o de criptomonedas, incluso cuando no la estés usando.
Esta amenaza es grave no solo porque es difícil de detectar visualmente para los usuarios, sino también porque puede evadir las comprobaciones de seguridad del dispositivo, como la detección de root. Las protecciones de Android solo detectan la actividad de la aplicación host, mientras que la del malware permanece oculta.
Cómo proteger tu dispositivo de El Padrino
Según Zimperium, si bien la actual campaña afecta a casi 500 aplicaciones, se ha centrado principalmente en bancos de Turquía. Sin embargo, podría extenderse fácilmente a otros países, como ocurrió con la versión anterior.
Para protegerte de Godfather y cualquier otro malware que afecte a tu dispositivo Android, descarga e instala aplicaciones solo de fuentes confiables, como Google Play Store. Puedes cambiar la configuración de permisos para fuentes desconocidas en Ajustes → Aplicaciones → Acceso especial a aplicaciones → Instalar aplicaciones desconocidas.
Asegúrate de que Google Play Protect, que analiza las aplicaciones en busca de malware, esté habilitado y de que tu dispositivo y tus aplicaciones estén actualizados. Ahora también es un buen momento para revisar las aplicaciones que tienes en tu dispositivo y eliminar las que no uses o no necesites.
Dado que el mecanismo de ataque de Godfather es tan sofisticado, también deberías seguir otras prácticas recomendadas básicas para evitar el malware desde el principio. Nunca abras archivos adjuntos ni hagas clic en enlaces en correos electrónicos, mensajes de texto o publicaciones en redes sociales, y evita hacer clic en anuncios, que se utilizan para propagar malware.
