行動裝置資安業者揭露最新一波的惡意程式GodFather攻擊行動，駭客藉由虛擬化環境部署與受害裝置完全相同的銀行App或加密貨幣應用程式，從而利用虛擬化環境來竊取使用者的帳密及各式資料。此惡意軟體能在受害手機部署帶有虛擬化框架的惡意「主機」應用程式，並用來下載真實的行動銀行與加密貨幣App，然後透過攻擊者的沙箱環境執行。一旦受害者啟用手機裡的正牌應用程式，攻擊者就會將他們重新導向虛擬化環境的另一個App，使得這些用戶的一舉一動，包含點選、輸入的資料內容，都受到GodFather的監控。

       網路安全研究人員揭露了一種名為 AntiDot 的 惡意軟體， AntiDot 的一個核心功能是它能夠監控新啟動的應用程式，並在受害者打開運營商感興趣的加密貨幣或支付相關應用程式時從 C2 伺服器提供和提供虛假登錄螢幕。該惡意軟體還濫用輔助功能服務來收集有關活動屏幕內容的大量資訊，並將自己設置為用於捕獲傳入和傳出文本的預設SMS應用程式。此外，它可以監控電話、阻止來自特定號碼的電話或重定向它們，從而有效地開闢更多欺詐途徑。另一個重要功能是它可以跟蹤設備狀態列中顯示的即時通知，並採取措施關閉或暫停它們，以抑制警報並避免提醒使用者可疑活動。

       在 GodFather 惡意軟體中發現的一個特別令人擔憂的能力是它能夠竊取設備鎖定憑據，無論受害者是使用解鎖模式、PIN 還是密碼。這對用戶隱私和設備安全構成了重大威脅。濫用無障礙服務是惡意應用程式在 Android 上實現許可權提升的眾多方式之一，使它們能夠獲得超出其功能要求的許可權。該惡意軟體的最終目標不僅是接收來自受害者的 NFC 流量，還通過向其 EMV 晶片發送命令來讀取銀行卡數據。

       所有這些活動都因以下事實而團結在一起：它們依靠簡訊釣魚技術來說服潛在受害者需要以有用程式為幌子在設備上安裝 APK 檔。雖然上述所有惡意軟體都要求受害者在其設備上側載應用程式，但新的研究還在 Google Play 官方商店和 Apple 的 App Store 上發現了惡意應用程式，這些應用程式能夠收集個人資訊並竊取與加密貨幣錢包相關的助記詞，目的是耗盡他們的資產。據估計，其中一款應用程式RapiPlata在Android和iOS設備上已被下載約150,000次，這凸顯了威脅的嚴重性。該應用程式是一種稱為 SpyLoan 的惡意軟體，它通過聲稱提供低利率貸款來引誘用戶，結果卻遭到勒索、勒索和數據盜竊。為避免感染，Android 使用者應僅從Google Play或信譽良好的來源下載應用程式。確保啟用Google Play Protect 並將應用程式安裝限制為僅必要的應用程式。

參考資料:

https://www.ithome.com.tw/news/169657

https://thehackernews.com/2025/06/new-android-malware-surge-hits-devices.html