Plusieurs sociétés de cybersécurité ont confirmé l'existence de Godfather, un malware bancaire Android qui cible les comptes bancaires et de crypto-monnaie des victimes.
Des experts de Group-IB, ThreatFabric et Cyble ont récemment rendu compte de Godfather, de ses objectifs et de ses méthodologies, dans lesquelles le malware tente de voler les données de connexion en superposant des applications bancaires et de crypto-monnaie légitimes (échanges, portefeuilles, etc.).
Le groupe a découvert que Le Parrain avait ciblé plus de 400 entités différentes, la plupart aux États-Unis (49), en Turquie (31), en Espagne (30), au Canada (22), en France (20), en Allemagne (19) et le Royaume-Uni (17).
Divers vecteurs d'infection
De plus, le malware analyse le terminal qu'il a infecté et s'il détermine que la langue de l'appareil est le russe, l'azéri, l'arménien, le biélorusse, le kazakh, le kirghize, le moldave, l'ouzbek ou le tadjik, il met fin à toute l'opération, ce qui a amené certains chercheurs à Nous pensons que les auteurs de la menace sont d'origine russe.
Il est impossible de déterminer le nombre exact d’appareils infectés, car le Play Store n’est pas le seul vecteur d’infection. En fait, le malware a eu une distribution relativement limitée via le référentiel d'applications Google et les principaux canaux de distribution n'ont pas encore été découverts. Ce que nous savons de l'enquête de Cyble, c'est que l'une des applications malveillantes compte plus de 10 millions de téléchargements à son actif.
Mais lorsqu'une victime télécharge le malware, elle doit d'abord lui donner des autorisations, c'est pourquoi dans certains cas, elle imite « Google Protect » et demande l'accès au service d'accessibilité. Si la victime le fournit, le malware prend en charge les SMS et les notifications, démarre l'enregistrement de l'écran, extrait les contacts et les listes d'appels, etc.
En activant le service d'accessibilité, les logiciels malveillants deviennent encore plus difficiles à supprimer et permettent également aux pirates de divulguer les mots de passe à usage unique de l'authentification Google.
Les chercheurs ont également déclaré que le malware dispose de modules supplémentaires qui peuvent être ajoutés, lui donnant des fonctionnalités supplémentaires, telles que le démarrage d'un serveur VNC, l'activation du mode silencieux, l'établissement d'une connexion WebSocket ou l'assombrissement de l'écran.
Via : BleepingComputer (Ouvre dans un nouvel onglet)