Más de 1,000 muestras del troyano bancario móvil Godfather están circulando en decenas de países de todo el mundo y apuntan a cientos de aplicaciones bancarias.

Descubierto por primera vez en 2022, Godfather, que puede grabar pantallas y pulsaciones de teclas, interceptar llamadas y mensajes de texto con autenticación de dos factores (2FA), iniciar transferencias bancarias y más, se ha convertido rápidamente en una de las ofertas de malware como servicio más extendidas en ciberdelincuencia, especialmente la ciberdelincuencia móvil. Según Zimperium 2023 “Informe sobre atracos a la banca móvil” A finales del año pasado, Godfather tenía como objetivo 237 aplicaciones bancarias repartidas en 57 países. Sus afiliados exfiltraron información financiera robada a al menos nueve países, principalmente en Europa e incluso Estados Unidos.

Todo ese éxito llamó la atención.Por lo tanto, para evitar que el software de seguridad arruine la fiesta, los desarrolladores de Godfather han estado generando automáticamente nuevas muestras para sus clientes a una escala casi industrial.

Otros desarrolladores de malware móvil de todo el espectro han comenzado a hacer lo mismo. "Lo que estamos viendo es que las campañas de malware están empezando a hacerse cada vez más grandes", advierte Nico Chiaraviglio, científico jefe de Zimperium, que será el anfitrión una sesión sobre esta y otras tendencias de malware móvil en RSAC en mayo.

Además de Godfather y otras familias conocidas, Chiaraviglio está rastreando una familia de malware móvil aún más grande y aún encubierta con más de 100,000 muestras únicas en libertad. "Así que eso es una locura", dice. “Nunca antes habíamos visto esa cantidad de muestras en un solo malware. Esta es definitivamente una tendencia”.

Los troyanos bancarios generan cientos de muestras

La seguridad móvil ya está muy por detrás de la seguridad de las computadoras de escritorio. “En los años 90, nadie usaba realmente antivirus en las computadoras de escritorio, y ahí es donde nos encontramos ahora. Hoy en día, sólo uno de cada cuatro usuarios utiliza realmente algún tipo de protección móvil. El veinticinco por ciento de los dispositivos están completamente desprotegidos, frente al 85% de los ordenadores de sobremesa”, lamenta Chiaraviglio.

Mientras tanto, las amenazas móviles están subiendo de nivel rápidamente. Una forma de hacerlo es generando tantas iteraciones diferentes que los programas antivirus (que perfilan el malware según sus firmas únicas) tienen problemas para correlacionar una infección con la siguiente.

Consideremos que en el momento de su descubrimiento inicial en 2022, según Chiaraviglio, había menos de 10 muestras de El Padrino en estado salvaje. A finales del año pasado, esa cifra se había multiplicado por cien.

Es evidente que sus desarrolladores han estado generando automáticamente muestras únicas para los clientes para ayudarles a evitar la detección. “Podrían simplemente escribir un guión para todo; esa sería una forma de automatizarlo. Otra forma sería utilizar modelos de lenguaje grandes, ya que la asistencia con el código realmente puede acelerar el proceso de desarrollo”, afirma Chiaraviglio.

Otros desarrolladores de troyanos bancarios han seguido el mismo enfoque, aunque en menor escala. En diciembre, Zimperium registró 498 muestras del competidor cercano de El Padrino, Nexus , 300 muestras de Saderat, y 123 de pixpirate.

¿Puede el software de seguridad mantenerse al día?

Las soluciones de seguridad que etiquetan el malware por firma tendrán dificultades para realizar un seguimiento de cientos y miles de muestras por familia.

"Tal vez haya mucha reutilización de código entre diferentes muestras", afirma Chiaraviglio, algo que sugiere que las soluciones adaptativas pueden utilizar para correlacionar malware relacionado con diferentes firmas. Alternativamente, en lugar del código en sí, los defensores pueden utilizar inteligencia artificial (IA) para centrarse en los comportamientos del malware. Con un modelo que pueda hacer eso, dice Chiaraviglio, "realmente no importa cuánto cambies el código o la apariencia de la aplicación, aún podremos detectarla".

Pero, admite, “al mismo tiempo, esto siempre es una carrera. Hacemos algo [para ajustarnos], luego el atacante hace algo para evolucionar según nuestras predicciones. [Por ejemplo], pueden pedirle a [un modelo de lenguaje grande] que mute su código tanto como pueda. Este sería el ámbito del malware polimórfico, que no es algo que suceda mucho en los dispositivos móviles, pero podríamos empezar a ver mucho más de eso”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/endpoint-security/godfather-banking-trojan-spawns-1k-samples-57-countries