500 apps Android en danger : le virus Godfather est de retour, et il est encore plus dangereux

Le virus Godfather refait surface sur Android. Plus trompeur qu’en 2022, il utilise désormais une nouvelle tactique pour voler les identifiants bancaires de ses cibles. Cette fois, il est capable de compromettre 500 applications Android, dont celles de banques françaises.

Au cours des derniers mois de l’année 2022, un nouveau malware s’est attaqué aux smartphones Android :  « Godfather » (« Le Parrain » en français). Identifié par Group-IB, le virus était programmé pour voler les identifiants de plus de 400 applications bancaires et financières, dont 20 banques françaises. Pour arriver à ses fins, le malware se faisait passer pour le Play Protect. Par la suite, il affichait de fausses pages de connexion superposées à l’écran. C’est par le biais de ces pages factices que le virus aspirait les données personnelles de ses victimes. Il s’agit d’une tactique très répandue au sein des logiciels malveillants destinés à mener des attaques de phishing.

Moins de trois ans plus tard, Godfather fait un retour en force sous la forme d’une nouvelle variante. Débusquée par zLabs, l’équipe de recherche de Zimperium, cette « évolution sophistiquée » se distingue par un mode opératoire plus original et plus complexe. Comme l’expliquent les chercheurs, le nouveau Godfather repose sur une « forme d’attaque plus trompeuse et plus efficace ».

Comment Godfather s’y prend pour voler vos données ?

Pour propager le virus, les pirates glissent la charge malveillante dans le code du fichier APK d’une application. Une fois qu’il est parvenu à pénétrer sur le smartphone de ses victimes, Godfather va lister toutes les applications installées. Il va surtout s’intéresser aux applications relatives à des banques ou des services financiers.

Le malware place ensuite les applications en question dans son framework de virtualisation. Il s’agit d’un outil qui permet de créer un environnement isolé sur le smartphone. Cette fonctionnalité va en fait lancer une copie du système d’exploitation capable de faire tourner des applications. L’environnement factice va alors télécharger et exécuter « une copie de l’application bancaire réelle ». De facto, « lorsque l’utilisateur lance son application, il est redirigé à son insu vers cette version virtualisée, où chaque action, saisie et interaction est surveillée et contrôlée à distance ». Le virus ne se contente pas de « simuler une interface de connexion, il crée un environnement virtuel isolé ». Au lieu « de simplement imiter un écran de connexion, le logiciel malveillant installe une application hôte piégée, équipée d’un système de virtualisation », souligne le rapport des chercheurs.

C’est par le biais de cet environnement virtuel, sous contrôle des pirates, que le virus obtient les données des victimes. Le malware va « capturer en temps réel des identifiants, des mots de passe, des codes PIN, des schémas de verrouillage du téléphone ». Évidemment, tout le processus est invisible. Le système d’exploitation ne se rend compte de rien, de même que l’utilisateur. La stratégie permet aux cybercriminels d’agir sans alerter les mécanismes de sécurité d’Android, et « d’intercepter les informations d’identification et les données sensibles en temps réel ».

Une fois les données en sa possession, le virus va s’en servir pour pénétrer au sein de la véritable application bancaire. Tandis que le malware pénètre dans l’application afin de réaliser des virements frauduleux, l’utilisateur verra un écran noir avec un message du type « mise à jour en cours ». Cette technique de virtualisation « érode la confiance fondamentale entre un utilisateur et ses applications mobiles », estiment les experts à l’origine de la découverte du maliciel.

500 applications Android dans le viseur du malware

Selon les investigations menées par zLabs, Godfather est conçu pour pirater 500 applications Android différentes, essentiellement des apps bancaires. Des services de paiement, des applications de messagerie, et des plateformes e-commerce font également partie des cibles privilégiées du logiciel malveillant. La campagne s’étend « à travers l’Europe, avec de grandes banques en Allemagne, en Espagne, en France et en Italie » parmi les cibles.

Godfather est taillé pour berner les utilisateurs de 100 applications de cryptomonnaies différentes. Les plateformes d’échange et les portefeuilles numériques sont dans le collimateur des cybercriminels. Bien que le virus soit en mesure de s’en prendre à des applications en provenance du monde entier, il se concentre actuellement sur 12 applications bancaires répandues en Turquie. Il faut s’attendre à ce que d’autres institutions bancaires et financières se retrouvent dans le viseur du Godfather dans un avenir proche.

zLabs recommande de ne pas télécharger d’applications Android en dehors du Play Store, d’activer Google Play Protect sur votre téléphone, et de garder un œil sur les autorisations réclamées par les apps Android. Bien souvent, les apps malveillantes réclament une foule d’autorisations sans raison.

Source : Zimperium

__________________________________________________________________________________________________________