Un cheval de Troie bancaire Android connu sous le nom de GodFather est utilisé pour cibler les utilisateurs de plus de 400 applications bancaires et de crypto-monnaie couvrant 16 pays.
Cela comprend 215 banques, 94 fournisseurs de portefeuilles cryptographiques et 110 plates-formes d’échange cryptographiques desservant des utilisateurs aux États-Unis, en Turquie, en Espagne, en Italie, au Canada et au Canada, entre autres, a déclaré Group-IB, dont le siège est à Singapour, dans un rapport partagé avec breachtrace .
Le logiciel malveillant, comme de nombreux chevaux de Troie financiers ciblant l’écosystème Android, tente de voler les informations d’identification des utilisateurs en générant des écrans de superposition convaincants (c’est-à-dire des faux Web) qui sont diffusés au-dessus des applications cibles.
Détecté pour la première fois par Group-IB en juin 2021 et divulgué publiquement par ThreatFabric en mars 2022, GodFather intègre également des fonctionnalités de porte dérobée natives qui lui permettent d’abuser des API d’accessibilité d’Android pour enregistrer des vidéos, enregistrer des frappes au clavier, capturer des captures d’écran et récolter des SMS et des journaux d’appels.
L’analyse du malware par Group-IB a révélé qu’il s’agissait d’un successeur d’Anubis, un autre cheval de Troie bancaire dont le code source a été divulgué dans un forum clandestin en janvier 2019. Il serait également distribué à d’autres acteurs de la menace via le malware-as- modèle de service a (MaaS).
Les similitudes entre les deux familles de logiciels malveillants s’étendent à la méthode de réception de l’adresse de commande et de contrôle (C2), à la mise en œuvre des commandes C2 et aux modules de faux Web, de proxy et de capture d’écran. Cependant, les fonctionnalités d’enregistrement audio et de localisation ont été supprimées.
« Il est intéressant de noter que GodFather épargne les utilisateurs des pays post-soviétiques », a déclaré Group-IB. « Si les préférences système de la victime potentielle incluent l’une des langues de cette région, le cheval de Troie se ferme. Cela pourrait suggérer que les développeurs de GodFather sont russophones. »
Ce qui distingue GodFather, c’est le fait qu’il récupère son adresse de serveur de commande et de contrôle (C2) en déchiffrant les descriptions de chaînes Telegram contrôlées par l’acteur qui sont codées à l’aide du chiffrement Blowfish.
Le mode opératoire exact utilisé pour infecter les appareils des utilisateurs n’est pas connu, bien qu’un examen de l’infrastructure de commande et de contrôle (C2) de l’acteur menaçant révèle que les applications dropper trojanisées sont un vecteur de distribution potentiel.
Ceci est basé sur une adresse C2 qui est liée à une application nommée Currency Converter Plus (com.plus.currencyconverter) qui était hébergée sur le Google Play Store en juin 2022. L’application en question n’est plus disponible au téléchargement.
Un autre artefact examiné par Group-IB imite le service légitime Google Play Protect qui, lors de son lancement, crée une notification continue et masque son icône de la liste des applications installées.
Les découvertes surviennent alors que Cyble a découvert un certain nombre d’échantillons de GodFather se faisant passer pour l’application MYT Müzik destinée aux utilisateurs en Turquie.
GodFather n’est pas le seul malware Android basé sur Anubis. Plus tôt en juillet, ThreatFabric a révélé qu’une version modifiée d’Anubis connue sous le nom de Falcon ciblait les utilisateurs russes en se faisant passer pour la banque publique VTB.
« L’émergence de GodFather souligne la capacité des acteurs de la menace à modifier et à mettre à jour leurs outils pour maintenir leur efficacité malgré les efforts des fournisseurs de détection et de prévention des logiciels malveillants pour mettre à jour leurs produits », a déclaré Artem Grischenko, chercheur au Group-IB.
« Avec un outil comme GodFather, les acteurs de la menace ne sont limités que par leur capacité à créer des contrefaçons Web convaincantes pour une application particulière. Parfois, la suite peut vraiment être meilleure que l’original. »