Un malware de Android está haciendo estragos en distintas partes del mundo, infectando dispositivos móviles para robar las credenciales de acceso a cientos de bancos y plataformas de criptomonedas. Según reporta BleepingComputer, se trata de GodFather, que no es una amenaza precisamente nueva, pero que sí ha evolucionado en los últimos tiempos para volverse muy peligrosa.

La explicación más sencilla del funcionamiento de GodFather es la siguiente. Una vez que el malware infecta un móvil o tablet con Android, escanea el dispositivo en busca de aplicaciones específicas para atacar. Si detecta que las apps que son su objetivo están en el aparato, puede falsificar la pantalla de acceso a las mismas para engañar a los usuarios y que introduzcan su nombre de usuario y contraseña.

Claro que el proceso completo es bastante más complejo que ese, y deja en claro que este software malicioso ha alcanzado un nivel de sofisticación muy importante. Con respecto a su distribución, especialistas en seguridad han mencionado que, si bien se han encontrado apps con este malware en la Play Store de Google, todavía se desconoce cuál es el método primario de infección.

Un dato notorio es la cantidad de aplicaciones en el punto de mira de GodFather. Hasta el momento, este malware de Android es capaz de hacerse pasar por 419 apps de finanzas. Del total, 215 corresponden a bancos; 110 son de exchanges de criptomonedas y las 94 restantes de wallets de criptoactivos.

Si bien el alcance de este software malicioso es global, la mayoría de las apps de bancos afectadas corresponden a instituciones financieras de Estados Unidos. En el caso de España, se han registrado ataques falsificando la pantalla de acceso de 30 aplicaciones bancarias.

GodFather, un malware de Android que apunta contra bancos y plataformas de criptomonedas

Android, estafa SMS premium | malware Android | GodFather

Si el malware logra introducirse en un dispositivo con Android, se hará pasar por Google Protect para ejecutar un supuesto escaneo de seguridad. Así, solicitará acceso a los servicios de Accesibilidad para una herramienta que, a primera vista, no genera mayores sospechas. Sin embargo, una vez que lo consigue se "adueña" del funcionamiento del móvil.

BleepingComputer detalla que el software malicioso alcanza tal control sobre el teléfono infectado, que hace imposible eliminar al troyano. Pero no solo eso. También es capaz de acceder a los mensajes de texto y las notificaciones, grabar la pantalla, realizar llamadas, guardar datos en medios de almacenamiento externos, y hasta capturar los códigos de uso único de apps como Google Authenticator.

Pero si te preguntas cómo logra falsificar las pantallas de acceso a las apps bancarias y de criptomonedas, la historia se vuelve todavía más compleja. Al estar conectado a un servidor C2 —"mando y control"—, este malware de Android envía una lista con las aplicaciones instaladas en el dispositivo. Si detecta la presencia de alguna de las apps compatibles con el ataque, descarga un formulario de inicio de sesión falso que sea compatible.

Pero eso no es todo. El software malicioso no suplanta la pantalla de logueo para luego esperar a que el usuario abra la app afectada e introduzca su nombre de usuario y contraseña. Lo que también hace es crear notificaciones falsas de las aplicaciones en cuestión, que engañan a los usuarios para introducir sus credenciales.

Un troyano con más de un truco bajo la manga

Otro aspecto a considerar es que el malware intentará robar las credenciales de cualquier dispositivo Android que infecte. Incluso si el móvil no tiene instalada alguna de las más de 400 apps que intenta atacar. ¿Qué hace en estos casos? Puede grabar la pantalla para capturar el nombre de usuario y contraseña que los usuarios utilicen en otros bancos o plataformas cripto.

Como último dato curioso, GodFather escanea el idioma del móvil infectado y no ataca a quienes lo tengan configurado en idiomas específicos. Tales los casos de ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko. Esto hace suponer a los expertos en seguridad que el malware proviene de Rusia u otros exterritorios de la Unión Soviética.