{"id":521595,"date":"2022-12-21T09:43:10","date_gmt":"2022-12-21T11:43:10","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cheval-de-troie-godfather-android-banking-ciblant-les-utilisateurs-de-plus-de-400-applications-bancaires-et-cryptographiques\/"},"modified":"2022-12-21T09:43:11","modified_gmt":"2022-12-21T11:43:11","slug":"cheval-de-troie-godfather-android-banking-ciblant-les-utilisateurs-de-plus-de-400-applications-bancaires-et-cryptographiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cheval-de-troie-godfather-android-banking-ciblant-les-utilisateurs-de-plus-de-400-applications-bancaires-et-cryptographiques\/","title":{"rendered":"Cheval de Troie GodFather Android Banking ciblant les utilisateurs de plus de 400 applications bancaires et cryptographiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 mobile \/ cheval de Troie bancaire<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un cheval de Troie bancaire Android connu sous le nom de <strong>Parrain<\/strong> est utilis\u00e9 pour cibler les utilisateurs de plus de 400 applications bancaires et de crypto-monnaie couvrant 16 pays.<\/p>\n<p>Cela comprend 215 banques, 94 fournisseurs de portefeuilles cryptographiques et 110 plates-formes d&#8217;\u00e9change cryptographiques desservant des utilisateurs aux \u00c9tats-Unis, en Turquie, en Espagne, en Italie, au Canada et au Canada, entre autres, Group-IB, dont le si\u00e8ge est \u00e0 Singapour. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.group-ib.com\/godfather-trojan\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Le logiciel malveillant, comme de nombreux chevaux de Troie financiers ciblant l&#8217;\u00e9cosyst\u00e8me Android, tente de voler les informations d&#8217;identification des utilisateurs en g\u00e9n\u00e9rant des \u00e9crans de superposition convaincants (c&#8217;est-\u00e0-dire des faux Web) qui sont diffus\u00e9s au-dessus des applications cibles.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>D\u00e9tect\u00e9 pour la premi\u00e8re fois par Group-IB en juin 2021 et <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/ThreatFabric\/status\/1505932079401480198\" target=\"_blank\">divulgu\u00e9 publiquement<\/a> par ThreatFabric en mars 2022, GodFather int\u00e8gre \u00e9galement des fonctionnalit\u00e9s de porte d\u00e9rob\u00e9e natives qui lui permettent d&#8217;abuser des API d&#8217;accessibilit\u00e9 d&#8217;Android pour enregistrer des vid\u00e9os, enregistrer des frappes au clavier, capturer des captures d&#8217;\u00e9cran et r\u00e9colter des SMS et des journaux d&#8217;appels.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671622990_744_Cheval-de-Troie-GodFather-Android-Banking-ciblant-les-utilisateurs-de.png\" alt=\"Cheval de Troie bancaire Android\" border=\"0\" data-original-height=\"396\" data-original-width=\"728\" title=\"Cheval de Troie bancaire Android\"\/><\/div>\n<p>L&#8217;analyse du malware par Group-IB a r\u00e9v\u00e9l\u00e9 qu&#8217;il s&#8217;agissait d&#8217;un successeur de <a rel=\"nofollow noopener\" href=\"https:\/\/www.threatfabric.com\/blogs\/anubis_2_malware_and_afterlife.html\" target=\"_blank\">Anubis<\/a>un autre cheval de Troie bancaire dont le code source a \u00e9t\u00e9 divulgu\u00e9 dans un forum clandestin en janvier 2019. Il serait \u00e9galement distribu\u00e9 \u00e0 d&#8217;autres acteurs de la menace via le mod\u00e8le malware-as-a-service (MaaS).<\/p>\n<p>Les similitudes entre les deux familles de logiciels malveillants s&#8217;\u00e9tendent \u00e0 la m\u00e9thode de r\u00e9ception de l&#8217;adresse de commande et de contr\u00f4le (C2), \u00e0 la mise en \u0153uvre des commandes C2 et aux modules de faux Web, de proxy et de capture d&#8217;\u00e9cran.  Cependant, les fonctionnalit\u00e9s d&#8217;enregistrement audio et de localisation ont \u00e9t\u00e9 supprim\u00e9es.<\/p>\n<p>&#8220;Il est int\u00e9ressant de noter que GodFather \u00e9pargne les utilisateurs des pays post-sovi\u00e9tiques&#8221;, a d\u00e9clar\u00e9 Group-IB.  &#8220;Si les pr\u00e9f\u00e9rences syst\u00e8me de la victime potentielle incluent l&#8217;une des langues de cette r\u00e9gion, le cheval de Troie se ferme. Cela pourrait sugg\u00e9rer que les d\u00e9veloppeurs de GodFather sont russophones.&#8221;<\/p>\n<p>Ce qui distingue GodFather, c&#8217;est le fait qu&#8217;il r\u00e9cup\u00e8re son adresse de serveur de commande et de contr\u00f4le (C2) en d\u00e9chiffrant les descriptions de canaux Telegram contr\u00f4l\u00e9es par l&#8217;acteur qui sont encod\u00e9es \u00e0 l&#8217;aide du <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Blowfish_(cipher)\" target=\"_blank\">Chiffre de poisson-globe<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671622990_775_Cheval-de-Troie-GodFather-Android-Banking-ciblant-les-utilisateurs-de.png\" alt=\"Cheval de Troie bancaire Android\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Cheval de Troie bancaire Android\"\/><\/div>\n<p>Le mode op\u00e9ratoire exact utilis\u00e9 pour infecter les appareils des utilisateurs n&#8217;est pas connu, bien qu&#8217;un examen de l&#8217;infrastructure de commande et de contr\u00f4le (C2) de l&#8217;acteur mena\u00e7ant r\u00e9v\u00e8le que les applications dropper trojanis\u00e9es sont un vecteur de distribution potentiel.<\/p>\n<p>Ceci est bas\u00e9 sur une adresse C2 qui est li\u00e9e \u00e0 une application nomm\u00e9e Currency Converter Plus (com.plus.currencyconverter) qui \u00e9tait h\u00e9berg\u00e9e sur le Google Play Store en juin 2022. L&#8217;application en question n&#8217;est plus disponible au t\u00e9l\u00e9chargement.<\/p>\n<p>Un autre artefact examin\u00e9 par Group-IB imite le l\u00e9gitime <a rel=\"nofollow noopener\" href=\"https:\/\/developers.google.com\/android\/play-protect\" target=\"_blank\">Google Play Protect<\/a> service qui, lors de son lancement, cr\u00e9e un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.android.com\/reference\/android\/app\/Notification.Builder.html#setOngoing(boolean)\" target=\"_blank\">notification en cours<\/a> et masque son ic\u00f4ne de la liste des applications install\u00e9es.<\/p>\n<p>Les r\u00e9sultats viennent comme Cyble <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2022\/12\/20\/godfather-malware-returns-targeting-banking-users\/\" target=\"_blank\">d\u00e9couvert<\/a> un certain nombre d&#8217;\u00e9chantillons de GodFather se faisant passer pour l&#8217;application MYT M\u00fczik destin\u00e9e aux utilisateurs en Turquie.<\/p>\n<p>GodFather n&#8217;est pas le seul malware Android bas\u00e9 sur Anubis.  Plus t\u00f4t en juillet, ThreatFabric a r\u00e9v\u00e9l\u00e9 qu&#8217;une version modifi\u00e9e d&#8217;Anubis connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/threatfabric\/status\/1547194667598594050\" target=\"_blank\">Faucon<\/a> cibl\u00e9 les utilisateurs russes en se faisant passer pour la banque publique VTB.<\/p>\n<p>&#8220;L&#8217;\u00e9mergence de GodFather souligne la capacit\u00e9 des acteurs de la menace \u00e0 modifier et \u00e0 mettre \u00e0 jour leurs outils pour maintenir leur efficacit\u00e9 malgr\u00e9 les efforts des fournisseurs de d\u00e9tection et de pr\u00e9vention des logiciels malveillants pour mettre \u00e0 jour leurs produits&#8221;, a d\u00e9clar\u00e9 Artem Grischenko, chercheur au Group-IB.<\/p>\n<p>&#8220;Avec un outil comme GodFather, les acteurs de la menace ne sont limit\u00e9s que par leur capacit\u00e9 \u00e0 cr\u00e9er des contrefa\u00e7ons Web convaincantes pour une application particuli\u00e8re. Parfois, la suite peut vraiment \u00eatre meilleure que l&#8217;original.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/godfather-android-banking-trojan.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 d\u00e9cembre 2022\ue804Ravie LakshmananS\u00e9curit\u00e9 mobile \/ cheval de Troie bancaire Un cheval de Troie bancaire Android connu sous le nom de Parrain est utilis\u00e9 pour cibler les utilisateurs de plus de 400 applications bancaires et de crypto-monnaie couvrant 16 pays. Cela comprend 215 banques, 94 fournisseurs de portefeuilles cryptographiques et 110 plates-formes d&#8217;\u00e9change cryptographiques desservant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":521596,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,8361,9383,14164,7968,4175,4168,13276,4158,4165,4161,56603,4157,4159,4171,4170,65,4167,4160,4163,4162,4172,4169,8915,7529,4166,4164],"class_list":["post-521595","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-applications","tag-bancaires","tag-banking","tag-cheval","tag-ciblant","tag-comment-pirater","tag-cryptographiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-godfather","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-troie","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/521595","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=521595"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/521595\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/521596"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=521595"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=521595"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=521595"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}