Android tiene un problema, y es que es básicamente el sistema operativo más extendido del mundo. Eso incluye obviamente a España, y aunque Apple sigue manteniendo una cuota de mercado que aún rivaliza con la plataforma de Google, el sistema está increíblemente asentado en todo el mundo. Por eso, cuando aparece un virus como Godfather, saltan todas las alarmas.

Según recoge BleepingComputer, se ha detectado el uso de un malware bancario llamado Godfather, que estaría teniendo una proyección muy considerable de hasta 16 países. Está actualmente siendo usado para roba credenciales de cuentas bancarias de 400 entidades en todo el mundo, incluyendo sitios exchange de criptomonedas.

Esto, de nuevo, incluye a España ya que la mayor parte de los países afectados según Cyble son europeos y se ha confirmado que ha tenido actividad aquí. Además, su naturaleza es peligrosa ya que una vez infectado el dispositivo, puede hacer prácticamente todo de lo que un usuario sería capaz.

Godfather, el virus de Android

Todo comienza con Group-IB, descubridores de Godfather que lo calificaron como un troyano peligroso. Dicho grupo de analistas considera que este es un sucesor de Anubis, otro gran troyano bancario que ha sido usado de forma muy amplia en el pasado. Actualmente está en desuso debido a los parches de seguridad introducidos en las últimas versiones de Android.

El modo de funcionamiento de este malware es muy ingenioso. Se encarga de generar pantallas de inicio de sesión superpuestas en los formularios de inicio sesión de las aplicaciones bancarias y de exchange de criptomonedas. Así, cuando las víctimas intentan iniciar sesión en dichas aplicaciones, realmente inician sesión con el malware, enviando sus credenciales a páginas HTML de phishing.

Proyección de Godfather. Group-IB Group-IB

Los países afectados incluyen Estados Unidos, Turquía, Canadá, Francia, Alemania o Reino Unido, así como España. En nuestro país, Godfather afecta a una treintena de aplicaciones, y en conjunto, amenaza a más de 110 plataformas de exchange de criptomonedas y 94 aplicaciones de criptowallets.

Pero ¿cómo funciona? Godfather, una vez instalado en el dispositivo de la víctima, imita el ecosistema de seguridad de la plataforma. En el caso de Android, imita a Google Play Protect, la herramienta de seguridad embebida dentro de la tienda de apps Google Play Store.

Aplicaciones bancarias afectadas por Godfather. Group-IB Group-IB

Al instalarse, solicita acceso a los sistemas del Servicio de Accesibilidad haciéndose pasar por Google Play Protect, y pide la aprobación del usuario. Cuando el usuario le da el visto bueno, el malware consigue acceder a todos los permisos del dispositivo, y consigue prácticamente funcionalidad total en todo el teléfono.

Godfather es capaz de leer mensajes de texto, notificaciones, leer llamadas, grabar la pantalla, escribir en almacenamiento externo y comprobar el estado del dispositivo. Incluso es capaz de hacer llamadas si así lo quiere. De hecho, se aprovecha del Servicio de Accesibilidad para evitar que el usuario desinstale el troyano. Filtra, además, las contraseñas de Google Authenticator y roba el contenido de los campos de contraseñas y PIN del sistema.

Gráfico de la infraestructura de Godfather. Group-IB Group-IB

Es en este momento cuando Godfather simplemente tiene que conseguir las credenciales de la víctima haciendo capturas de pantalla o grabando la pantalla. Por si fuera poco, permite la acción de ciertos comandos a través de servidor que incluso pasan por auto borrarse del dispositivo y así borrar su rastro. Otros comandos incluyen enviar SMS a todos los contactos para propagar el troyano o abrir páginas web.

El alcance de Godfather es preocupante, ya que según Cyble, la actividad del troyano permitió usurpar una aplicación muy popular en Turquía, lo que ha provocado que se descargue hasta 10 millones de veces en Google Play. 

[Elimina el malware de tu móvil gracias únicamente a estos dos sencillos pasos]

Si bien no se sabe el origen del troyano en sí, hay un detalle interesante: cuando el troyano detecta que el idioma del dispositivo es el ruso, el azerbaiyano, el armenio, el bielorruso, el kazajo, el kirguís, el moldavo, el uzbeko o el takiyo, se detiene por completo. De esta forma, se deduce que los autores de Godfather son rusos y que pertenecerían a la Comunidad de Estados Independientes o CIS.

También te puede interesar...

• Borra de inmediato estas aplicaciones si las tienes en tu móvil: son virus que roban tus cuentas
• Las cuatro aplicaciones que debes borrar de tu móvil: esconden un virus que roba tu dinero
• Así puedes comprobar si tu móvil está infectado por Pegasus, el virus que ha espiado a Pedro Sánchez