Un cheval de Troie bancaire Android connu sous le nom de Parrain est utilisé pour cibler les utilisateurs de plus de 400 applications bancaires et de crypto-monnaie couvrant 16 pays.
Cela comprend 215 banques, 94 fournisseurs de portefeuilles cryptographiques et 110 plates-formes d’échange cryptographiques desservant des utilisateurs aux États-Unis, en Turquie, en Espagne, en Italie, au Canada et au Canada, entre autres, Group-IB, dont le siège est à Singapour. m’a dit dans un rapport partagé avec The Hacker News.
Le logiciel malveillant, comme de nombreux chevaux de Troie financiers ciblant l’écosystème Android, tente de voler les informations d’identification des utilisateurs en générant des écrans de superposition convaincants (c’est-à-dire des faux Web) qui sont diffusés au-dessus des applications cibles.
Détecté pour la première fois par Group-IB en juin 2021 et divulgué publiquement par ThreatFabric en mars 2022, GodFather intègre également des fonctionnalités de porte dérobée natives qui lui permettent d’abuser des API d’accessibilité d’Android pour enregistrer des vidéos, enregistrer des frappes au clavier, capturer des captures d’écran et récolter des SMS et des journaux d’appels.
L’analyse du malware par Group-IB a révélé qu’il s’agissait d’un successeur de Anubisun autre cheval de Troie bancaire dont le code source a été divulgué dans un forum clandestin en janvier 2019. Il serait également distribué à d’autres acteurs de la menace via le modèle malware-as-a-service (MaaS).
Les similitudes entre les deux familles de logiciels malveillants s’étendent à la méthode de réception de l’adresse de commande et de contrôle (C2), à la mise en œuvre des commandes C2 et aux modules de faux Web, de proxy et de capture d’écran. Cependant, les fonctionnalités d’enregistrement audio et de localisation ont été supprimées.
« Il est intéressant de noter que GodFather épargne les utilisateurs des pays post-soviétiques », a déclaré Group-IB. « Si les préférences système de la victime potentielle incluent l’une des langues de cette région, le cheval de Troie se ferme. Cela pourrait suggérer que les développeurs de GodFather sont russophones. »
Ce qui distingue GodFather, c’est le fait qu’il récupère son adresse de serveur de commande et de contrôle (C2) en déchiffrant les descriptions de canaux Telegram contrôlées par l’acteur qui sont encodées à l’aide du Chiffre de poisson-globe.
Le mode opératoire exact utilisé pour infecter les appareils des utilisateurs n’est pas connu, bien qu’un examen de l’infrastructure de commande et de contrôle (C2) de l’acteur menaçant révèle que les applications dropper trojanisées sont un vecteur de distribution potentiel.
Ceci est basé sur une adresse C2 qui est liée à une application nommée Currency Converter Plus (com.plus.currencyconverter) qui était hébergée sur le Google Play Store en juin 2022. L’application en question n’est plus disponible au téléchargement.
Un autre artefact examiné par Group-IB imite le légitime Google Play Protect service qui, lors de son lancement, crée un notification en cours et masque son icône de la liste des applications installées.
Les résultats viennent comme Cyble découvert un certain nombre d’échantillons de GodFather se faisant passer pour l’application MYT Müzik destinée aux utilisateurs en Turquie.
GodFather n’est pas le seul malware Android basé sur Anubis. Plus tôt en juillet, ThreatFabric a révélé qu’une version modifiée d’Anubis connue sous le nom de Faucon ciblé les utilisateurs russes en se faisant passer pour la banque publique VTB.
« L’émergence de GodFather souligne la capacité des acteurs de la menace à modifier et à mettre à jour leurs outils pour maintenir leur efficacité malgré les efforts des fournisseurs de détection et de prévention des logiciels malveillants pour mettre à jour leurs produits », a déclaré Artem Grischenko, chercheur au Group-IB.
« Avec un outil comme GodFather, les acteurs de la menace ne sont limités que par leur capacité à créer des contrefaçons Web convaincantes pour une application particulière. Parfois, la suite peut vraiment être meilleure que l’original. »