恶意木马病毒“教父”曝光：借助手机窃取银行信息

安全公司 Zimperium 发文，披露一款名为 GodFather 的金融木马正在全球范围内活跃，该木马锁定全球近 500 款银行类 App 用户发起攻击，其中尤以土耳其用户受攻击最严重。

据悉，与传统的金融木马不同，GodFather 采用了一种先进的“设备端虚拟化技术”（On-device Virtualization），可以在用户手机上部署一个带有虚拟化框架的恶意宿主程序，在这个虚拟环境中下载并运行真实的金融应用。一旦用户打开这些应用，就会被重新导向黑客所控制的虚拟副本中，用户的每一次点击与输入，都会被该木马实时监控和记录。

▲ 黑客通过虚拟化技术设置的应用示例

相比以往的攻击方式，这种虚拟化方案可令黑客完整掌握目标 App 的运行逻辑，实现对敏感数据的即时截取。同时，黑客还能远程操控 GodFather 木马，通过 Hook 框架修改虚拟环境中的行为，从而绕过常规的安全检测机制，大幅提升攻击隐蔽性。

Zimperium 指出，这类滥用虚拟化技术的攻击并非首次。早在 2023 年底，业界便出现过一款名为 FjordPhantom 的恶意木马，也利用类似的容器化方式在受害设备中执行恶意代码。不过 GodFather 的隐蔽程度相对更高，因为它让用户误以为自己使用的是正版 App，导致受害者难以从界面或行为上察觉异常，同时也令传统的安全机制难以识别其恶意行为。

研究人员警告，这种攻击模式严重破坏了用户对手机应用生态的信任。用户在使用正规金融 App 时也可能面临信息被窃取的风险，因此呼吁平台和开发者加强对虚拟化滥用行为的检测与防范。