Mobile

Godfather Android Malware cible plus de 400 banques et échanges cryptographiques

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Après avoir disparu pendant plusieurs mois, le nouveau malware Godfather Android est de retour avec une vengeance, ciblant plus de 400 sociétés financières internationales. Le cheval de Troie génère de fausses pages de connexion pour récolter les informations de connexion des clients, et ce n’est que le début. Parrain imite également les outils de sécurité préinstallés de Google dans le but d’obtenir un contrôle total sur les appareils.

Parrain a été découvert par la société d’analyse de logiciels malveillants Group IB, avec le premiers échantillons apparaissant en juin 2021. On pense que ce logiciel malveillant est né d’un autre pirate bancaire populaire connu sous le nom d’Anubis. Parrain a circulé à de faibles niveaux jusqu’en juin 2022, date à laquelle il a disparu. Il semble que les opérateurs préparaient simplement une nouvelle version. Parrain était de retour en force en septembre de cette année, ciblant pas moins de 400 sociétés financières : 215 banques internationales, 94 portefeuilles de crypto-monnaie et 110 échanges de crypto.

Lorsqu’il est installé sur un appareil, Godfather génère de fausses pages de connexion, qu’il peut utiliser pour obtenir des noms d’utilisateur et des mots de passe. De nombreuses banques et entreprises de cryptographie ont des exigences de connexion supplémentaires, et c’est là que les autres mécanismes de Godfather sont utiles. Après l’installation, le logiciel malveillant se fait passer pour une alerte Google Play Protect. Pensant qu’il s’agit d’une fenêtre contextuelle légitime de la suite de sécurité par défaut d’Android, certains utilisateurs accorderont au logiciel malveillant le contrôle de l’accessibilité. À ce stade, Godfather peut enregistrer l’écran, lire des SMS, déclencher de fausses notifications, passer des appels, etc. – tout ce dont vous avez besoin pour compromettre un compte bancaire ou un coffre-fort crypto.

La fausse fenêtre contextuelle Play Protect de Godfather.

Le logiciel malveillant semble se propager via des applications leurres dans le Play Store. Le groupe IB n’a pas déterminé qui a créé et profite de Parrain, mais il soupçonne fortement qu’ils sont russophones. Il y a un kill switch dans le malware qui vérifie le paramètre de langue du système d’exploitation. S’il trouve que la langue par défaut est l’une de celles parlées dans les anciens États soviétiques (autres que l’ukrainien), il s’éteindra au lieu de voler des données. Ce n’est pas exactement une arme à feu, mais c’est assez suspect.

Après avoir évalué les chaînes Telegram, Group IB estime que Godfather est un exemple de Malware-as-a-Service (MaaS). Les créateurs autorisent essentiellement le malware à des tiers, qui peuvent leur fournir des détails financiers juteux sans avoir à développer le malware et l’infrastructure. Il cible les institutions du monde entier, y compris les États-Unis (49 sites), la Turquie (31), l’Espagne (30) et le Canada (22). Si vous pensez avoir été infecté, supprimez l’accessibilité de toutes les applications installées (généralement sous Paramètres > Accessibilité) et modifiez vos mots de passe importants à l’aide d’un autre appareil.

Maintenant lis:

Bouton retour en haut de la page