Plusieurs entreprises de cybersécurité ont confirmé l’existence de Godfather, un malware bancaire Android qui a été trouvé ciblant les comptes bancaires et de crypto-monnaie de la victime.
Les experts de Group-IB, ThreatFabric et Cyble ont tous récemment rendu compte de Godfather, de ses cibles et de ses méthodologies, qui voit le logiciel malveillant tenter de voler les données de connexion en superposant des applications bancaires et de crypto-monnaie légitimes (échanges, portefeuilles, etc.).
Le groupe a découvert que Godfather avait ciblé plus de 400 entités différentes, la plupart d’entre elles se trouvant aux États-Unis (49), en Turquie (31), en Espagne (30), au Canada (22), en France (20), en Allemagne (19), et le Royaume-Uni (17).
Plusieurs vecteurs d’infection
De plus, le logiciel malveillant analyse le terminal qu’il a infecté et s’il détermine que la langue de l’appareil est soit le russe, l’azéri, l’arménien, le biélorusse, le kazakh, le kirghize, le moldave, l’ouzbek ou le tadjik, il arrête toute l’opération, ce qui entraîne certains des les chercheurs à croire que les acteurs de la menace sont d’origine russe.
Le nombre exact d’appareils infectés est impossible à déterminer, car Play Store n’est pas le seul vecteur d’infection. En fait, le logiciel malveillant a eu une distribution relativement limitée via le référentiel d’applications de Google, et les principaux canaux de distribution restent à découvrir. Ce que nous savons, grâce aux recherches de Cyble, c’est que l’une des applications malveillantes compte plus de 10 millions de téléchargements à son actif.
Mais lorsqu’une victime télécharge le malware, elle doit d’abord lui donner des autorisations, c’est pourquoi dans certains cas, il imite « Google Protect » et demande l’accès au service d’accessibilité. Si la victime fournit, le logiciel malveillant prend en charge les SMS et les notifications, commence à enregistrer l’écran, exfiltre les contacts et les listes d’appels, etc.
En activant le service d’accessibilité, le logiciel malveillant devient encore plus difficile à éliminer et permet également aux pirates d’exfiltrer les mots de passe à usage unique de Google Authentication.
Les chercheurs ont également déclaré que le logiciel malveillant possède des modules supplémentaires qui peuvent être ajoutés, lui donnant des fonctionnalités supplémentaires telles que le lancement d’un serveur VNC, l’activation du mode silencieux, l’établissement d’une connexion WebSocket ou l’assombrissement de l’écran.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)