IT 之家 6 月 20 日消息，安全公司   Zimperium   发文，披露一款名为   GodFather   的金融木马正在全球范围内活跃，该木马锁定全球近   500   款银行类   App   用户发起攻击，其中尤以土耳其用户受攻击最严重。

据悉，与传统的金融木马不同，GodFather   采用了一种先进的 " 设备端虚拟化技术 "（On-device Virtualization），可以在用户手机上部署一个带有虚拟化框架的恶意宿主程序，在这个虚拟环境中下载并运行真实的金融应用。一旦用户打开这些应用，就会被重新导向黑客所控制的虚拟副本中，用户的每一次点击与输入，都会被该木马实时监控和记录。

▲ 黑客通过虚拟化技术设置的应用示例

相比以往的攻击方式，这种虚拟化方案可令黑客完整掌握目标   App   的运行逻辑，实现对敏感数据的即时截取。同时，黑客还能远程操控   GodFather   木马，通过   Hook   框架修改虚拟环境中的行为，从而绕过常规的安全检测机制，大幅提升攻击隐蔽性。

Zimperium   指出，这类滥用虚拟化技术的攻击并非首次。早在   2023   年底，业界便出现过一款名为   FjordPhantom   的恶意木马，也利用类似的容器化方式在受害设备中执行恶意代码。不过   GodFather   的隐蔽程度相对更高，因为它让用户误以为自己使用的是正版   App，导致受害者难以从界面或行为上察觉异常，同时也令传统的安全机制难以识别其恶意行为。

研究人员警告，这种攻击模式严重破坏了用户对手机应用生态的信任。用户在使用正规金融   App   时也可能面临信息被窃取的风险，因此呼吁平台和开发者加强对虚拟化滥用行为的检测与防范。