Malware Android Godfather Volant des Données des Sites Bancaires et des Échanges de Crypto-monnaies

Un groupe d’analystes IB chez Threat Fabric a découvert un malware Android nommé Godfather, qui essaie de voler les identifiants de plus de 400 sites bancaires et échanges de crypto-monnaies.

Les chercheurs croient que Godfather pourrait être le remplaçant de l’Anubis ; en effet, Anubis était un malware trojan bancaire Android largement utilisé, bien qu’à la fin, il n’ait pas été utilisé en raison de son incapacité à contourner les nouvelles défenses Android.

Le malware Android, c’est-à-dire Godfather, crée un affichage de connexion au-dessus de la page de connexion de l’application bancaire et de l’échange de crypto-monnaies lorsque la victime essaie de se connecter au site, trompant les cibles en leur faisant entrer les identifiants corrects sur les pages de phishing HTML bien conçues.

Le malware Android a été découvert pour la première fois en mars 2021 par Threat Fabric, et depuis lors, il a connu des améliorations et des mises à jour significatives dans son code.

De plus, un rapport de Cyble mentionne qu’il y a une augmentation des activités de malware Android et qu’il conduit à une application qui imite un outil musical célèbre en Turquie et qui a été téléchargée 10 millions de fois sur le Google Play Store.

Eh bien, les chercheurs ont pu trouver une petite distribution du malware Godfather dans les applications sur le Google Play Store. Cependant, les chercheurs n’ont pas encore trouvé le mode de distribution principal, donc la méthode d’infection initiale est majoritairement inconnue.

Les applications ciblées par le malware Android sont principalement des applications bancaires des États-Unis, de Turquie, du Canada, de France, d’Allemagne, d’Espagne et du Royaume-Uni. Elles ciblent également des plateformes d’échange de crypto-monnaies et des applications de portefeuille de crypto-monnaies.

De plus, le trojan est configuré pour vérifier la langue du système, et si elle est russe, arménienne, kazakhe, kirghize, moldave, ouzbèke, etc., alors il cesse de fonctionner. Cela indique que les personnes derrière le trojan Godfather parlent russe et sont probablement des résidents de la région de la Communauté des États Indépendants.

Eh bien, une fois que le trojan est installé sur l’appareil, il imite Google Play Protect, un contrôle de sécurité standard disponible sur tous les appareils Android. Le malware va encore plus loin et émule un processus de scan sur le téléphone.

L’objectif du scan est de demander des services d’accessibilité qui ressemblent à un outil authentique, et une fois que la cible approuve la demande, le malware peut s’octroyer toutes les autorisations pour effectuer toutes les activités malveillantes.

Les activités malveillantes incluent l’accès aux notifications et aux messages, aux contacts, passer des appels téléphoniques, écrire sur le stockage externe et lire l’état du téléphone.

Lire : L’acteur de la menace cible les fournisseurs de services de télécommunications et modifie les méthodes de défense lorsqu’il est détecté.

Maintenant, les services d’accessibilité sont exploités pour empêcher la victime de supprimer le malware et également filtrer le code Google Authenticator (OTP), voler les mots de passe et les codes PIN et traiter les commandes.

Le malware Android exfiltre la liste des applications pour recevoir des correspondances (faux identifiants HTML pour voler les identifiants) depuis le serveur C2.

Le faux web imite les pages de connexion pour des applications légitimes, et toutes les données saisies dans les fausses pages HTML, telles que les noms d’utilisateur et les mots de passe, sont ensuite exfiltrées vers les serveurs C&C, ont déclaré les chercheurs de Threat Fabric.

En plus de cela, le malware peut envoyer de fausses notifications depuis les applications infectées sur le téléphone de la victime, donc il n’a pas besoin d’attendre que l’application infectée s’ouvre et pour les applications qui ne sont pas sur les listes de Godfather, le malware Android utilise sa fonction d’enregistrement d’écran pour enregistrer les identifiants que la victime entre dans les champs.

De plus, Godfather accepte également les commandes suivantes du serveur C2, qu’il exécute grâce au bénéfice administratif qu’il a sur l’appareil.

startUSSD - Exécuter une demande USSD.  
sentMessage - Envoyer des messages depuis l'appareil de la victime (non traité dans la version ultérieure du malware).  
startApp - Lancer une application définie par le serveur C2.  
cachecleaner - Effacer le cache de toute application déterminée par le C2.  
BookMessages - Envoyer des messages à tous les contacts (probablement pour la propagation, non utilisé dans la dernière version).  
startforward/ stopforward - Activer ou désactiver le transfert d'appels vers un numéro déterminé par le C2.  
openbrowser - Ouvrir une page web arbitraire.  
startstocks5/ stopstocks5 - Activer ou désactiver le proxy STOCKS5.  
Killbot- Auto-suppression.  
startPush.- Afficher une notification qui, lorsqu'elle est cliquée, ouvre une page web avec une fausse page.

Le malware Android dispose également de composants qui lui permettent d’exécuter des actions telles que le keylogging, l’enregistrement de l’écran, l’activation du mode silencieux, le démarrage d’un serveur VNC, le verrouillage de l’affichage, et l’exfiltration et le blocage des notifications.

Comme mentionné ci-dessus, le malware Godfather pourrait être la création des mêmes attaquants qui ont créé le trojan Anubis, dont le code source a fuité en 2019, ou ce malware pourrait constituer une menace entièrement nouvelle pour les attaquants.

Eh bien, les deux malwares adoptent des méthodes similaires pour recevoir l’adresse C2, exécuter des commandes C2, la méthode du faux web, le mode proxy, etc.

Cela dit, le trojan exclut le chiffrement de fichiers Anubis, le suivi GPS, etc., mais inclut plutôt la méthode du serveur VNC, la méthode d’enregistrement d’écran, a ajouté un processus pour voler Google Authenticator, et plus encore.

Lire : Muddy Water, un groupe de hackers a utilisé des e-mails d’entreprise compromis pour envoyer des messages de phishing.