Godfather, le successeur du malware bancaire Anubis

On connaît désormais le nom du successeur du trojan bancaire Anubis, ce malware qui avait ciblé près de 200 applications bancaires sur Android. Selon Group-IB, le malware Godfather, apparu à l’été 2021, semble être en effet une version modernisée de cet ancien cheval de Troie, devenu obsolète grâce aux efforts des éditeurs pour le contrer.

400 services financiers ciblés

Un successeur à prendre au sérieux. Toujours selon l’entreprise d’origine russe, désormais basée à Singapour, le malware Godfather a ciblé en 18 mois environ 400 services financiers, dont 215 banques et 204 plateformes de services pour les cryptomonnaies. Les deux logiciels malveillants, explique Group-IB, partagent une base de code commune. Mais cela ne permet toutefois pas d’affirmer que les développeurs des deux chevaux de Troie sont les mêmes.

Le code source d’Anubis est en effet déjà accessible depuis 2019. Comme le remarquait Trend Micro, Anubis a d’ailleurs déjà plusieurs pivots à son actif, du cyberespionnage au vol d’informations bancaires, en passant par le rançongiciel. Les deux malwares diffèrent enfin dans leurs protocoles de communication avec leurs serveurs de commande et de contrôle.

Selon l'entreprise Cyble, pour toucher ses cibles, le malware Godfather se dissimule notamment derrière une fausse application de musique turque. Anubis se diffusait pour sa part en se cachant derrière des applications anodines telles qu’un convertisseur de devises.

Fonctionnalités étendues

Une fois lancé, le logiciel malveillant imite Google Protect, une application dédiée à la détection des menaces, lançant même une fausse analyse de l’appareil, avant de s’installer discrètement en arrière-plan. Assez classiquement, le malware cible ensuite les noms d’utilisateurs et les mots de passe.

Il est ainsi capable d’enregistrer la frappe, des captures d’écran, d’extraire des contacts et des SMS ou de lancer de fausses notifications. Le malware trompe ses hôtes infectés en superposant de faux formulaires de connexion aux applications bancaires et de cryptomonnaies visées, conduisant en réalité ses victimes vers des pages de hameçonnage.

Par contre, le cheval de Troie est configuré pour s’arrêter si la langue du téléphone est paramétrée en Russe ou dans huit autres langues de pays proches de la Russie. Suggérant ainsi que les développeurs sont des russophones ou qu’ils vivent, à tout le moins, dans un pays de la Communauté des Etats indépendants (CEI).