为了在安卓手机上能窃取机密资料，许多恶意软件通常会透过覆盖画面等手法引诱使用者上当，但如今出现更複杂的手段，用户更难察觉有异。

行动装置资安业者Zimperium揭露名为GodFather的金融木马，此恶意程序对全球近500款银行应用程序的用户而来，主要集中对土耳其下手。这款恶意软件与过往的金融木马最大的不同，就是採用一种进阶的装置端虚拟化技术（On-device?Virtualization），而能挟持数种合法的应用程序，其中包含行动银行及加密货币相关的App。

由于这种新手法是在受害装置建立完整的、隔离的虚拟化环境，有别于一般恶意程序是藉由伪造的登入画面来骗取帐密资料，此恶意软件能在受害手机部署带有虚拟化框架的恶意「主机」应用程序，并用来下载真实的行动银行与加密货币App，然后透过攻击者的沙箱环境执行。一旦受害者启用手机里的正牌应用程序，攻击者就会将他们重新导向虚拟化环境的另一个App，使得这些用户的一举一动，包含点选、输入的资料内容，都受到GodFather的监控。

相较于过往金融木马等恶意程序，这种虚拟化手法能让攻击者完全了解应用程序的处理程序，进而即时拦截帐密资料与敏感资料；再者，攻击者不仅能远端控制GodFather，还能藉由挂钩（Hooking）框架窜改虚化版的行为，从而有效地绕过资安检查机制。

除此之外，骇客也使用了其他迴避侦测手法，其中一种是操弄ZIP压缩档，将程序码移转到Java层，而能让静态分析工具无法察觉有异。

针对这起攻击行动的发现，研究人员指出类似滥用虚拟化的手法并非首例，其中一个是2023年底出现的恶意程序FjordPhantom，骇客为了迴避侦测，他们在容器环境执行恶意程序码。但这次GodFather的手段更为可怕，因为使用者操作的是正牌应用程序，不仅无法从操作画面察觉异常，许多资安防护机制也难以识别这种恶意行为，研究人员认为，这严重破坏了人们对行动应用程序之间的信任。