Logiciel malveillant mobile Godfather

Par Mezo en Logiciels malveillants mobiles

Se traduisent par :

Une nouvelle version améliorée du célèbre malware Android Godfather fait sensation dans le monde de la cybersécurité. En déployant des environnements virtuels isolés sur les appareils infectés, ce malware furtif permet désormais l'espionnage en temps réel, le vol d'identifiants et la fraude financière, tout en restant dissimulé sous le couvert d'applications bancaires légitimes.

Table des matières

Des mondes virtuels pour un vol réel

Le malware Godfather mis à niveau utilise un framework de virtualisation intégré dans un fichier APK apparemment inoffensif. Une fois installé, il vérifie la présence de plus de 500 applications cibles potentielles, notamment des plateformes bancaires, de cryptomonnaie et de commerce électronique, et les déplace dans un environnement virtuel. Cette configuration imite une tactique utilisée par FjordPhantom en 2023, mais va bien au-delà en termes de portée et de sophistication.

Contrairement aux logiciels malveillants Android standard, Godfather exploite la virtualisation pour exécuter des applications cibles dans des conteneurs contrôlés, permettant :

Vol d'identifiants en temps réel et interception des réponses du backend
Imitation visuelle transparente d'applications légitimes
Contournement des mécanismes de sécurité intégrés d'Android

Prise de contrôle invisible via StubActivity

Un élément crucial de cette tromperie réside dans l'utilisation de StubActivity, un espace réservé au sein du malware qui lance des applications virtualisées sans exposer d'interface utilisateur ni de logique propre. Lorsque la victime tente d'accéder à son application bancaire légitime, Godfather intercepte l'action grâce à ses privilèges de service d'accessibilité et la redirige vers le conteneur virtuel, affichant ainsi l'interface réelle de l'application tout en contrôlant totalement les interactions utilisateur.

Cette astuce trompe Android en lui faisant croire qu'il exécute une application sécurisée tandis que toutes les actions sensibles, de la saisie d'un code PIN à la confirmation des transactions, sont surveillées et détournées.

Sous le capot : outils et techniques

Pour mener à bien ses opérations complexes, Godfather s'appuie sur un mélange de technologies open source et d'ingénierie intelligente :

Moteur VirtualApp – permet la création de conteneurs isolés.

Xposed Framework – se connecte aux API Android pour enregistrer les entrées et les réponses.

Usurpation d'intention : détourne les commandes destinées à des applications légitimes et les redirige.

ID de système de fichiers et de processus virtuels : prend en charge la réplication transparente de l'environnement.

À des moments clés, le logiciel malveillant superpose de faux écrans de verrouillage ou des écrans de mise à jour pour inciter les utilisateurs à saisir des informations d'identification sensibles, qui sont ensuite exfiltrées vers les attaquants.

Un regard en arrière : l’évolution du Parrain

Godfather est apparu pour la première fois en mars 2021 et a depuis considérablement évolué. Dans sa variante de décembre 2022, le malware ciblait 400 applications dans 16 pays à l'aide d'attaques par superposition HTML. La version actuelle, quant à elle, utilise la virtualisation complète, étendant sa portée à plus de 500 applications dans le monde. Si la dernière campagne semble cibler une douzaine de banques turques, l'infrastructure est en place pour une migration à l'échelle mondiale.

Comment rester protégé

Pour réduire le risque d’être victime de menaces avancées comme Godfather, les utilisateurs doivent suivre ces bonnes pratiques de cybersécurité :

Télécharger en toute sécurité
Installez uniquement des applications provenant de Google Play ou de sources fiables.
Évitez de télécharger des APK à moins que l'éditeur ne soit réputé et vérifié.
Pratiquez la vigilance des applications
Gardez Google Play Protect activé.
Surveillez les autorisations des applications, en particulier les demandes de services d’accessibilité.
Méfiez-vous des écrans de verrouillage ou des invites de mise à jour inattendus.

La dernière version de Godfather marque une évolution vers des menaces mobiles plus sophistiquées, qui brouillent la frontière entre activité malveillante et comportement légitime des applications. Rester informé et prudent est la première ligne de défense.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Logiciel malveillant mobile Godfather

Des mondes virtuels pour un vol réel

Prise de contrôle invisible via StubActivity

Sous le capot : outils et techniques

Un regard en arrière : l’évolution du Parrain

Comment rester protégé

Soumettre un Commentaire

Tendance

Utilitaires personnalisés Traiolx

PARKER Ransomware

ADMON Ransomware

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Discord est bloqué sur un écran gris