Hogyan működik a Keresztapa?
A Keresztapa rosszindulatú APK egy nyílt forráskódú virtualizációs motort, például a VirtualApp keretrendszert és az Xposed-ot használja fel arra, hogy „konténerbe” zárja az áldozat banki alkalmazását. Egy úgynevezett StubActivity – lényegében elterelő trükk – segítségével indítja el a valódi alkalmazást a saját konténerén belül. Ilyenkor a felhasználó nem is sejti, hogy minden bejelentkezési adatát, PIN-kódját, jelszavát, vagy akár az ujjlenyomat-használatát a malware rögzíti. Az Xposed lehetővé teszi, hogy az összes API-hívást „lehorgonyozza”, azaz az összes adatot elcsípje és továbbítsa.
Szemfényvesztés a legmagasabb szinten
Amikor valaki elindítja a valódi banki alkalmazást, a Keresztapa accessibility szolgáltatása eltéríti az „Intent”-et, majd a saját környezetében egy StubActivity-n keresztül virtuálisan futtatja az appot. Az áldozat valóban a megszokott felületet látja, de minden interakció – jelszó, érintés, háttérválaszok – szabad préda. A támadó a kritikus pillanatokban hamis zárolási képernyőt jelenít meg, így a gyanútlan felhasználó beütheti a PIN-kódot vagy jelszót. Miután az összes adatot megszerezte, a távoli támadó bármikor vezérelheti a készüléket: alkalmazásokat nyithat meg, átutalásokat indíthat, vagy akár le is zárhatja a telefont, miközben a tulajdonos csak egy fekete vagy „frissítési” képernyőt lát.
Egyre veszélyesebb, főleg banki appoknál
A Keresztapa először 2021 márciusában tűnt fel, azóta a támadásai egyre kifinomultabbak lettek. Az új változat december óta már több mint 500 különféle alkalmazás ellen bevethető, és már egész országokra is kiterjedhet. Bár egy közelmúltbeli kampány főleg török banki alkalmazásokra összpontosított, más régiók is könnyen célkeresztbe kerülhetnek. A védekezés első lépése: csak hivatalos Google Play-ből vagy megbízható fejlesztőtől szabad bármit telepíteni, a Play Protectet mindig tartsd bekapcsolva, és kritikusan vizsgáld meg az alkalmazásengedélyeket.
