Support technique
Documentation
Connexion
Nous contacter
Le logiciel malveillant GodFather Android vole des données bancaires
Obanla Opeyemi
Le 12 janvier 2023 - L'équipe d'experts de TuxCare
Les chercheurs de Cyble Research & Intelligence Labs (CRIL) ont découvert le malware GodFather, une nouvelle version du cheval de Troie bancaire Android.
Ce logiciel malveillant a infiltré plus de 400 applications de crypto-monnaies et bancaires dans 16 pays. Group-IB a découvert le cheval de Troie en juin 2021, et ThreatFabric a rendu l'information publique en mars 2022.
Il peut apparaître comme l'écran de connexion en haut des forums de connexion de l'application pour les sites bancaires et d'échange de crypto-monnaies. Lorsqu'un utilisateur saisit ses informations d'identification, celles-ci sont envoyées aux pirates plutôt qu'au site officiel.
Dans 16 pays, le malware Android cible des pages de banque en ligne et des échanges de crypto-monnaies. Il affiche de faux écrans de connexion par-dessus des applications légitimes. GodFather est utilisé par les acteurs de la menace pour voler des identifiants de compte. GodFather peut également voler des SMS, des informations sur les appareils et d'autres données.
Il a ciblé 215 applications bancaires, dont la majorité se trouve aux États-Unis (49), en Turquie (31), en Espagne (30), au Canada (22), en France (20), en Allemagne (19) et au Royaume-Uni (17). Le malware Godfather cible également 110 plateformes d'échange de crypto-monnaies et 94 applications de portefeuille de crypto-monnaies.
Le logiciel malveillant est distribué à divers acteurs de la menace par l'intermédiaire de plateformes de logiciels malveillants en tant que service et est dissimulé dans les applications Google Play. Ces applications semblent légitimes, mais elles contiennent une charge utile déguisée qui semble être protégée par Google Protect. Lorsqu'une victime interagit avec une fausse notification ou tente de lancer l'une de ces applications, le malware affiche une fausse superposition web et commence à voler des noms d'utilisateur et des mots de passe, ainsi que des codes 2FA par SMS.
Selon les chercheurs, une fois installé sur l'appareil de la victime, GodFather adopte une série de comportements typiques des chevaux de Troie bancaires, notamment le vol d'informations d'identification bancaires et de crypto-échange. Cependant, il vole également des données sensibles telles que les SMS, les détails de base de l'appareil, y compris les données des applications installées, et le numéro de téléphone de l'appareil, et il peut effectuer une variété d'actions néfastes en arrière-plan.
Pour éviter d'être détectés par les logiciels antivirus, les échantillons analysés de GodFather sont chiffrés à l'aide de techniques de chiffrement personnalisées. Lorsque les chercheurs en sécurité ont installé cette application sur un appareil de test, ils ont remarqué que son icône et son nom étaient similaires à ceux d'une application légitime appelée MYT Music. Cette application légitime est disponible sur Google Play et a été téléchargée plus de 10 millions de fois.
GodFather affiche également de fausses pages de connexion pour des applications légitimes de cuisson et d'échange de crypto-monnaies. Ces pages de phishing sont utilisées pour voler des mots de passe comme des informations de connexion telles que des noms d'utilisateur, des identifiants clients, des mots de passe, etc. GodFather cible plus de 200 apps bancaires, plus de 100 plateformes d'échange de crypto-monnaies et 94 apps de portefeuille de crypto-monnaies.
GodFather recherche dans la liste des apps présentes sur l'appareil de la victime les faux formulaires de connexion correspondants. Si la victime possède des apps bancaires ou d'échange de crypto-monnaies qui ne figurent pas dans la liste de GodFather, le malware enregistre l'écran afin de capturer les identifiants de connexion saisis.
Les sources de cet article comprennent un article de HackRead.
