Posté le décembre 22, 2022 à 8:30
LES HACKERS UTILISENT LE CHEVAL DE TROIE BANCAIRE GODFATHER ANDROID POUR CIBLER PLUS DE 400 APPLICATIONS BANCAIRES ET DE CRYPTOMONNAIES
GodFather, un cheval de Troie bancaire Android, a ciblé des applications bancaires et de cryptomonnaies sur des appareils Android. Le cheval de Troie a été déployé dans des campagnes malveillantes visant plus de 400 applications et utilisateurs basés dans 16 pays.
Le cheval de Troie bancaire GodFather cible plus de 400 applications bancaires et de cryptomonnaies
Sur les 400 applications bancaires et de cryptomonnaie visées par cette campagne, 215 étaient des applications bancaires, 94 des fournisseurs de portefeuilles de cryptomonnaie et 110 des applications offrant des services d’échange de cryptomonnaie. Ces applications étaient utilisées par des utilisateurs au Canada, en Italie, en Espagne, en Turquie et aux États-Unis.
Group-IB, une société de cybersécurité dont le siège est à Singapour, a publié un rapport sur cette campagne indiquant que le logiciel malveillant semblait avoir des caractéristiques similaires à celles d’un autre cheval de Troie bancaire connu sous le nom d’Anubis.
L’écosystème Android a été la cible de nombreux chevaux de Troie financiers. La plupart de ces chevaux de Troie s’infiltrent dans les appareils pour voler les informations d’identification des utilisateurs en générant des écrans superposés connus sous le nom de faux web. Ces écrans apparaissent au-dessus de l’application cible, perturbant l’activité de l’utilisateur et lui permettant d’accéder à des informations.
Groupe-IB a découvert ce logiciel malveillant en juin 2021. Le logiciel malveillant a ensuite été rendu public par ThreatFabric en mars de cette année. Le logiciel malveillant GodFather est doté d’un large éventail de fonctionnalités de backdoor natives lui permettant d’exploiter les API d’accessibilité d’Android.
Parmi les fonctions de ce logiciel malveillant figurent l’enregistrement de vidéos, l’enregistrement des frappes de clavier, la réalisation de captures d’écran et la collecte de SMS et de journaux d’appels. En accédant à ces fonctions, le logiciel malveillant accède effectivement aux informations des utilisateurs non autorisés et porte atteinte à la vie privée.
L’analyse de Group-IB a noté que ce logiciel malveillant semblait provenir du cheval de Troie bancaire Anubis. Le code source du cheval de Troie bancaire Anubis a été divulgué en janvier 2019 sur un forum de hackers. Le logiciel malveillant serait également distribué à d’autres acteurs de la menace en utilisant le modèle du logiciel malveillant en tant que service.
Il existe de nombreuses similitudes entre ce logiciel malveillant et Anubis. Les similitudes résident dans la méthode utilisée pour recevoir des adresses de commande et de contrôle (C2). D’autres facteurs à prendre en compte sont la mise en œuvre de commandes C2, les modèles de faux web, de proxy et de capture d’écran. Cependant, la plateforme a supprimé les fonctions d’enregistrement et de localisation.
Les chercheurs ont ajouté que le cheval de Troie bancaire ne cible pas les utilisateurs basés dans les pays post-soviétiques. Si la préférence système de la victime choisit l’une des langues communiquées dans la région, le cheval de Troie bancaire cesse de fonctionner. Ce comportement pourrait indiquer que les acteurs de la menace derrière le cheval de Troie sont russophones.
L’une des caractéristiques uniques de ce cheval de Troie bancaire est qu’il récupère l’adresse de son serveur de commande et de contrôle. Il récupère cette adresse en décryptant les descriptions d’un canal Telegram que l’acteur de la menace contrôle. Ces descriptions sont codées via le chiffrement blowfish.
Le mode de propagation reste à découvrir
Les chercheurs n’ont pas encore identifié le mode opératoire utilisé par les acteurs de la menace pour infecter les appareils des utilisateurs. Cependant, un examen plus approfondi de l’infrastructure des services de commande et de contrôle du hacker montre que l’un des vecteurs de transmission qui pourrait avoir été utilisé est celui des applications dropper trojanisées.
Cette découverte fait suite à une adresse C2 liée à une autre application connue sous le nom de Currency Converter Plus. Cette application a été répertoriée sur Google Play Store le 20 juin 2022. Cependant, l’application a depuis été retirée et n’est plus disponible au téléchargement.
Les chercheurs du Group-IB ont également analysé un autre artefact se faisant passer pour le service légitime Google Play Protect. Lorsque cette fonctionnalité est lancée, elle crée une autre notification tout en masquant l’icône de la liste des applications installées.
Ces résultats font également suite à une autre découverte de Cyble, qui a analysé des échantillons de GodFather. Le cheval de Troie se cachait dans l’application MYT Múzik et était utilisé pour cibler les utilisateurs basés en Turquie.
Anubis a été utilisé comme base pour la création de logiciels malveillants Android. En juillet de cette année, un rapport de ThreatFabric a révélé qu’une autre version d’Anubis, connue sous le nom de Falcon, a ciblé des utilisateurs basés en Russie après s’être fait passer pour la VTB Bank, une banque d’État Russe.
L’un des chercheurs du Group-IB, Artem Grischenko, a noté que « l’émergence de GodFather souligne la capacité des acteurs de la menace à modifier et à mettre à jour leurs outils pour maintenir leur efficacité, malgré les efforts des fournisseurs de détection et de prévention des logiciels malveillants pour mettre à jour leurs produits. »
Grischenko a également noté qu’avec un cheval de Troie tel que GodFather, les acteurs de la menace étaient limités par leur capacité à créer des contrefaçons web pour une application donnée. Dans certains cas, la fausse application peut être meilleure que l’originale, ce qui incite davantage d’utilisateurs à utiliser ces applications.
