Novo vírus cria gêmeo virtual de apps bancários no celular para roubar dados

Ataque sofisticado no Android usa virtualização e permissões de acessibilidade para forçar você abrir aplicativos em ambiente monitorado sem saber dos riscos

Nilton Cesar Monastier Kleina

schedule23/06/2025, às 12:00

updateAtualizado em 23/06/2025, às 12:26

Celulares com Android são o alvo de uma ameaça bancária recém descoberta que é sofisticada em funcionamento, além de utilizar um mecanismo original de invasão. A empresa de cibersegurança Zimperium zLabs descobriu o vírus e detalhou o caso em uma publicação no blog da empresa.

O malware foi batizado de GodFather, que significa "padrinho" em inglês e é também o título original do clássico do cinema O Poderoso Chefão, dirigido por Francis Ford Coppola. Ele age principalmente contra aplicativos bancários, para roubar informações que garantam o acesso da conta da vítima aos criminosos.

smart_display

Nossos vídeos em destaque

Leia também: Facebook ganha chaves de acesso como alternativa das senhas; ative e conheça esse login

Como o GodFather engana você

O segredo do GodFather está na forma com que ele engana o usuário. Malwares bancários tradicionais utilizam uma tela falsa de login ou técnicas para tentar extrair credenciais de acesso, como roubo de cookies e keyloggers.

O início da infecção é mais parecido com outras invasões. O conteúdo malicioso fica escondido dentro de APKs, que são arquivos executáveis de aplicativos para Android com instalação feita por fora do ambiente da Google Play Store;
Ao instalar o app falso, o usuário acaba liberando acesso ao GodFather para baixar o seu conteúdo completo e estabelecer ainda uma conexão entre o dispositivo da vítima e o servidor dos cibercriminosos;
Simultaneamente, o malware pede ao usuário uma série de permissões de acessibilidade, que são recursos normalmente úteis e inofensivos. Aqui, porém, a ideia é conseguir acesso a certos privilégios, como leitura de conteúdos da tela e do que é digitado no teclado virtual;

godfather-malware — O app fraudulento pede acesso às opções de acessibilidade, o que pode ser aceito sem querer por usuários distraídos. (Imagem: Reprodução/Zimperium zLabs)

Além disso, o grande trunfo da ferramenta está no processo de virtualização. Ele cria uma cópia dos apps bancários do usuário em uma máquina virtual e, quando a vítima tenta acessar os serviços originais, o malware que serve de "casca" abre esse gêmeo no lugar;
Na virtualização, o app bancário roda com a mesma interface da ferramenta original e até permite o acesso a todas as funções da plataforma. A diferença é que, aqui, os criminosos enxergam e coletam nesse ambiente tudo o que é selecionado ou digitado — incluindo login, senha, códigos PIN e tokens;
O golpe consegue até mesmo roubar o código ou padrão de desbloqueio da tela do aparelho, inserindo uma tela falsa sobreposta à original para ganhar ainda mais acesso ao dispositivo.

Para além da virtualização do app, o malware também utiliza o clássico método de sobrepor uma página falsa de login, caso o método de criação de cópia do serviço original não funcione. Dessa forma, ele pode fazer vítimas até mesmo entre quem acha que conseguiu se livrar da técnica mais avançada de enganação desse golpe.

Perguntas Frequentes

O que é o malware GodFather e qual é seu objetivo?

O GodFather é um vírus sofisticado que atinge celulares Android com o objetivo de roubar dados bancários. Ele cria uma cópia virtual de aplicativos financeiros no celular da vítima, permitindo que criminosos monitorem e capturem informações sensíveis como logins, senhas e códigos de autenticação.

Como o GodFather consegue se instalar no celular?

O malware é distribuído por meio de APKs — arquivos de instalação de apps Android — que são baixados fora da Google Play Store. Ao instalar um desses apps falsos, o usuário permite que o GodFather baixe seu conteúdo completo e se conecte aos servidores dos criminosos.

O que é virtualização e como ela é usada pelo GodFather?

Virtualização, nesse contexto, é a criação de uma cópia funcional de um aplicativo dentro de um ambiente controlado. O GodFather usa essa técnica para simular o app bancário original, mas em um ambiente onde tudo o que o usuário faz — como digitar senhas ou PINs — é visível para os criminosos.

Por que as permissões de acessibilidade são importantes para o funcionamento do GodFather?

As permissões de acessibilidade, normalmente usadas para ajudar pessoas com deficiência, são exploradas pelo GodFather para obter acesso à leitura da tela e ao que é digitado. Isso permite que o malware monitore as ações do usuário e colete dados confidenciais sem ser detectado.

O GodFather afeta apenas bancos?

Não. Além de bancos, o GodFather também pode atacar fintechs e corretoras de criptomoedas. Já foram identificados mais de 480 aplicativos que podem ser alvo do malware.

O ataque está restrito a alguma região?

Atualmente, o ataque é mais direcionado e afeta principalmente instituições financeiras da Turquia. No entanto, há o risco de que a técnica se espalhe para outras regiões ou seja vendida a outros cibercriminosos.

Como posso me proteger contra o GodFather?

Evite instalar APKs de fontes externas à Google Play Store e fique atento ao conceder permissões, especialmente as de acessibilidade. Mesmo apps da loja oficial devem ser analisados com cuidado antes de autorizar acessos sensíveis.