"教父"安卓木马利用虚拟化技术劫持银行及加密货币应用

Zimperium zLabs实验室发现"教父"安卓木马重大升级版，该木马利用设备端虚拟化技术劫持真实银行及加密货币应用。与传统的虚假界面覆盖不同，该恶意软件会在受害者设备上创建沙箱环境，在其中运行真实应用程序并实时截取用户输入。这种技术可实现完全账户接管，并能绕过安全防护机制。当前攻击活动主要针对土耳其银行机构，标志着移动恶意软件战术的严重升级。

最新"教父"木马样本采用ZIP文件篡改和混淆技术规避静态分析。攻击者通过修改APK压缩包结构及AndroidManifest文件，添加"$JADXBLOCK"等特殊标记误导分析工具。其有效载荷隐藏在assets文件夹，采用基于会话的安装方式突破系统限制。该木马利用无障碍服务监控用户输入、自动授予权限，并通过Base64编码URL将数据外传到C2服务器。

技术细节显示：

1. 该木马使用VirtualApp和Xposed等开源工具实施虚拟化攻击，在宿主容器而非安卓系统直接运行目标应用

2. 被虚拟化的应用运行在由宿主管理的沙盒文件系统中（进程名为com.heb.reb:va_core）

3. 此架构允许木马挂钩API、窃取数据并保持隐蔽，确保恶意功能在受控环境中不被察觉

攻击流程解析：

• 首先扫描设备识别特定银行应用

• 在隐蔽虚拟空间下载安装Google Play组件

• 通过伪造package.ini等配置文件复制正版应用的关键数据

• 当用户启动银行应用时，将请求重定向至虚拟环境中的克隆版本

• 利用无障碍服务和代理工具完美复现正版应用界面与交互

• 全程记录用户所有操作及登录凭证

Zimperium报告指出："这种虚拟化技术使攻击者获得前所未有的优势——通过在受控环境运行正版应用，攻击者能完全监控应用进程，实时窃取凭证等敏感数据。该木马支持远程控制，并利用挂钩框架修改虚拟化应用行为，有效规避root检测等安全检查。更关键的是，由于用户实际在与未经篡改的正版应用交互，使得攻击具有完美欺骗性，几乎无法通过视觉检查发现。"

高级攻击特征：

1. 采用定制化Xposed框架攻击，专门拦截通过OkHttpClient库的网络连接（多数银行应用采用）

2. 挂钩getEnabledAccessibilityServiceList API返回空列表以规避检测

3. 通过伪造锁屏界面窃取PIN码/密码/图形锁

4. 支持200+指令：模拟手势、操控屏幕元素、调取系统设置、控制亮度等

目标范围：

• 全球484款热门应用，包括：

• 美欧土等国的银行金融应用

• 加密货币钱包及交易所

• 电商/网约车/外卖/流媒体平台

• 社交媒体及通讯软件

• 当前攻击重点针对12家土耳其金融机构

安全专家警告："虽然'教父'的攻击范围覆盖近500个应用，但此次发现的虚拟化攻击技术复杂度远超2024年11月Cyble报告披露的'FjordPhantom'等已知样本，代表着移动恶意软件能力的重大飞跃。"