Les utilisateurs d’Android dans 16 pays à travers le monde sont actuellement ciblés par un malware bancaire nommé ‘Parrain’ qui est capable de voler les informations d’identification de compte de plus de 400 applications bancaires et cryptographiques différentes.
Découvert pour la première fois par Tissu de menace en mars de l’année dernière, le cheval de Troie Parrain a été considérablement mis à jour et amélioré depuis lors, selon un nouveau rapport (s’ouvre dans un nouvel onglet) de la firme de cybersécurité Groupe-IB.
De même, la société de surveillance du dark web et de la cybercriminalité Cyble a sorti un rapport séparé (s’ouvre dans un nouvel onglet) détaillant comment Parrain est également diffusé en Turquie par le biais d’un application malveillante qui a été téléchargé 10 millions de fois et qui se fait passer pour un outil musical populaire.
Comme BipOrdinateur (s’ouvre dans un nouvel onglet) souligne, Parrain est considéré comme le successeur d’Anubis qui était un autre cheval de Troie bancaire populaire et largement utilisé avant qu’il ne perde la capacité de contourner les nouvelles défenses Android.
Cibler les applications bancaires et cryptographiques
Depuis sa première apparition l’année dernière, Godfather a ciblé les utilisateurs de plus de 400 applications, dont 215 applications bancaires, 94 portefeuilles crypto et 110 plateformes d’échange crypto.
Les applications bancaires ciblées par le logiciel malveillant se trouvent dans divers pays du monde, dont 49 aux États-Unis, 31 en Turquie, 30 en Espagne, 22 au Canada, 20 en France, 19 en Allemagne et 17 au Royaume-Uni.
Étonnamment, Group-IB a trouvé une ligne dans le code de Godfather qui empêche le logiciel malveillant de cibler les utilisateurs en Russie ainsi que les utilisateurs des pays de l’ex-Union soviétique, ce qui suggère que ses créateurs parlent russe. Une fois installé sur un téléphone Android, le logiciel malveillant vérifie si la langue du système est le russe, l’azéri, l’arménien, le biélorusse, le kazakh, le kirghize, le moldave, l’ouzbek ou le tadjik. Si c’est le cas, Godfather s’arrête et n’essaie pas de voler les comptes bancaires ou cryptographiques stockés sur l’appareil.
Utiliser de fausses superpositions pour voler vos comptes financiers
Une fois installé sur le téléphone Android d’un utilisateur via une application ou un fichier malveillant, Godfather tente d’obtenir une persistance sur l’appareil en imitant Google Protect. Ce programme légitime s’exécute une fois que vous téléchargez une application depuis le Google Play Store.
Parrain dit alors à un utilisateur qu’il « scanne » alors qu’en réalité, le logiciel malveillant crée une notification « Google Project » épinglée et masque son icône de la liste des applications installées. Cela permet au malware de se cacher plus facilement en arrière-plan et plus difficile à supprimer.
L’icône du parrain étant introuvable, un utilisateur ciblé vaque à ses occupations quotidiennes. Cependant, le logiciel malveillant utilise ensuite de fausses superpositions d’applications bancaires et cryptographiques populaires pour voler leurs informations d’identification et vider leurs comptes. Godfather utilise également une astuce astucieuse pour envoyer les utilisateurs vers des pages de phishing. Pour ce faire, il affiche une notification leurre qui usurpe les applications bancaires ou cryptographiques installées sur leur smartphone.
Outre le vol d’informations d’identification, Godfather peut également enregistrer l’écran d’un utilisateur, lancer des enregistreurs de frappe pour capturer leurs frappes, transférer des appels pour contourner l’authentification à deux facteurs (2FA) et envoyer des SMS à partir d’appareils infectés.
Comment se protéger des logiciels malveillants Android
Pour vous protéger de Godfather et d’autres logiciels malveillants Android, vous ne devez installer de nouvelles applications que depuis Google Play Store ou d’autres magasins d’applications officiels comme Amazon App Store ou Samsung Galaxy Store. Tandis que chargement latéral d’applications peuvent être tentants, ils peuvent contenir des logiciels malveillants et d’autres virus car ils ne subissent aucun contrôle de sécurité avant d’être téléchargés.
Vous devez également vous assurer que Google Play Protect est activé sur votre appareil car il analyse les nouvelles applications ainsi que vos applications existantes à la recherche de logiciels malveillants. Cependant, pour une protection supplémentaire, vous pouvez également installer l’un des meilleures applications antivirus Android ainsi que.
Avant d’installer une nouvelle application, vous devez d’abord vous demander si vous en avez vraiment besoin. En limitant le nombre d’applications installées sur votre smartphone Android, vous pouvez réduire les risques d’infection de votre appareil par des logiciels malveillants.
Parrain est déjà utilisé dans des pays du monde entier et les cybercriminels continueront probablement à déployer ce logiciel malveillant dans leurs campagnes en raison de la manière dont il peut contourner les contrôles de sécurité Android et du grand nombre d’applications bancaires et cryptographiques qu’il cible.