# Godfather > Tipo: **banking trojan (Android)** · [Group-IB Research](https://www.group-ib.com/) ## Descrição [[godfather|Godfather]] é um banking trojan para Android de alta sofisticação, descoberto pelo Group-IB em 2022 e ativo desde pelo menos 2021. O malware é considerado um sucessor do Anubis banking trojan e apresenta capacidades avançadas de sobreposição (overlay attack) contra mais de 400 aplicativos bancários e de criptomoedas em 16 países, incluindo os Estados Unidos, Turquia, Espanha, Canadá, França, Alemanha e Itália. O [[godfather|Godfather]] é distribuído principalmente disfarçado como aplicativo legítimo de autenticação Google Play Protect, abusando da confiança dos usuários em ferramentas de segurança do próprio Google. O [[godfather|Godfather]] solicita permissões de Accessibility Service do Android para obter controle total do dispositivo, permitindo ao operador executar ações como clicar em botões, preencher formulários, e realizar transferências bancárias automaticamente. O malware intercepta SMS para roubar tokens 2FA, captura screenshots da tela, realiza keylogging, e pode iniciar chamadas telefônicas. A comunicação C2 utiliza o Telegram para exfiltração de credenciais e recebimento de comandos, com tráfego cifrado que dificulta detecção por soluções de MDM. Uma característica notável é a verificação de idioma do sistema - o Godfather não ataca dispositivos com idioma russo ou dos países da CIS configurado, sugerindo que os desenvolvedores são da região. A versão 2.0 do [[godfather|Godfather]], identificada em 2023, adicionou capacidade de gravar tela em tempo real e conectar-se remotamente ao dispositivo comprometido para operação manual, elevando significativamente o risco para usuários de bancos. O malware continuou evoluindo com novas capacidades e alvos adicionados regularmente. **Plataformas:** Android ## Técnicas Utilizadas - [[t1417-001-keylogging|T1417.001 - Keylogging]] - [[t1412-capture-sms-messages|T1412 - Capture SMS Messages]] - [[t1437-001-web-protocols|T1437.001 - Web Protocols]] - [[t1406-obfuscated-files-or-information|T1406 - Obfuscated Files or Information]] - [[t1422-system-network-configuration-discovery|T1422 - System Network Configuration Discovery]] - [[t1521-001-symmetric-cryptography|T1521.001 - Symmetric Cryptography]] ## Detecção > [!tip] Indicadores de Detecção > - Bloquear instalação de APKs de fontes desconhecidas via MDM em dispositivos corporativos > - Alertar sobre solicitações de Accessibility Service por aplicativos que não sejam explicitamente autorizados > - Monitorar aplicativos que acessam o serviço de SMS e realizam solicitações de rede simultaneamente > - Implementar soluções MTD (Mobile Threat Defense) com detecção comportamental de overlays > - Educar usuários sobre a impossibilidade de o Google Play Protect solicitar instalação manual de APK ## Relevância LATAM/Brasil Embora as campanhas iniciais do [[godfather|Godfather]] tenham focado na Europa e América do Norte, a expansão para novos países é constante e o Brasil representa um alvo de alto valor dado o tamanho de sua base de usuários de mobile banking e o alto volume de transações via apps bancários. O Brasil lidera na América Latina em adoção de mobile banking, com mais de 60 milhões de usuários de apps bancários. O modelo de overlay attack do Godfather é análogo ao utilizado por banking trojans brasileiros como [[s0531-grandoreiro|Grandoreiro]] e Pixpiraté, indicando tendências convergentes no ecossistema de ameaças financeiras móveis na região. ## Referências - [Group-IB - Godfather Analysis](https://www.group-ib.com/blog/godfather-trojan/)