Les analystes du Group-IB ont découvert un nouveau malware Android en activité. Baptisé « Godfather » (« Le Parrain » en français), le logiciel malveillant est conçu pour voler « les identifiants de connexion » de certaines applications bancaires et financières. Grâce aux données volées, les pirates cherchent évidemment à siphonner l’argent des utilisateurs détenu sur les comptes et applications.
À lire aussi : Les smartphones de Samsung et LG sont menacés par des malwares à cause d’une fuite de certificats
Le successeur du tristement célèbre Anubis
Après enquête, les chercheurs ont découvert un lien de parenté entre « Godfather » et « Anubis », un cheval de Troie dont le code source a été divulgué en 2019. Avant d’être vaincu par les mesures de sécurité de Google, le malware a fait des ravages sur Android. Il est plusieurs fois parvenu à infiltrer dans des applications disponibles sur le Play Store. Une fois installé sur le téléphone de ses victimes, Anubis ne tardait pas à aspirer toutes les données de l’appareil, comme la géolocalisation ou le numéro IMEI, et à demander l’accès à certaines fonctionnalités, dont l’appareil photo et le microphone.
D’après les chercheurs, les pirates derrière le malware Godfather se sont largement basés sur le code d’Anubis. On retrouve de nombreuses similarités dans le fonctionnement des deux virus. Néanmoins, le logiciel s’est enrichi de nouvelles armes pour contourner les dernières défenses d’Android. Godfather est apparu pour la première fois en juin 2021. Après plusieurs mois d’activité, le malware a disparu des radars avant de faire un retour en force en septembre 2022, relate Group-IB.
Plus de 400 applications Android visées
Depuis son retour sur le devant de la scène, Godfather vise plus de 400 applications Android appartenant à des institutions financières. Le malware cible surtout les banques, avec 215 applications bancaires dans son viseur. Les chercheurs affirment que 20 banques françaises sont notamment visées par les pirates. Le rapport ne précise pas le nom des établissements touchés.
Le cheval de Troie est également conçu pour dépouiller les détenteurs de cryptomonnaies. D’après Group-IB, Godfather est capable de voler les données de 94 portefeuilles numériques et 110 plates-formes d’échange de cryptomonnaies. Si vous conservez des crypto-actifs par le biais d’une application Android, on vous recommande de redoubler de prudence.
Les pièges tendus par le malware
Pour piéger les internautes, Godfather se fait passer pour Google Play Protect, le service de sécurité qui analyse toutes les applications installées. Déguisé en système de sécurité légitime, le virus va alors réclamer une pléthore d’autorisations. Anubis procédait aussi de la sorte pour endormir la méfiance de ses victimes.
« Une animation montre “l’activité” supposée de Google Play Protect, mais le “scanner” ne fait rien et au lieu de cela, Godfather s’enracine dans l’appareil », explique le rapport du Group-IB.
Avec ces permissions, il va collecter les SMS, les notifications, les contacts, l’historique des appels et les données stockées sur la mémoire interne. Surtout, Godfather va s’octroyer le droit de réaliser des captures d’écran à l’insu de l’utilisateur. Cette astuce « permet de voler les données saisies par l’utilisateur dans des applications légitimes », met en garde Group-IB. Très complet, le malware peut par ailleurs déployer de fausses notifications pour relayer les utilisateurs sur des sites de phishing. Toutes ces méthodes permettent aux pirates d’arriver à leurs fins et de collecter des identifiants de connexion.
« En imitant Google Play Protect, Godfather peut facilement passer inaperçu sur les appareils infectés », met en garde la firme.
Le malware rôde sur le Play Store
Les chercheurs du Group-IB ont repéré le malware sur le Play Store, dans le code de deux applications Android en apparence inoffensive. Alerté par les experts, Google a promptement banni les applications de sa boutique. En parallèle, le spécialiste américain de la sécurité Cyble a également identifié la présence de Godfather sur le Play Store.
Le virus était caché dans une application destinée aux internautes turcs, MYT Müzik. Avant sa suppression par Google, elle cumulait plus de 10 millions de téléchargements. Notez que les pirates déploient par ailleurs le virus sur des boutiques alternatives ou directement sur la toile, par le biais de publicités.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Group-IB