Le logiciel malveillant Android GodFather exécute de vraies applications dans un bac à sable pour voler des données

Les chercheurs en cybersécurité du Zimperium zLabs, dirigés par Fernando Ortega et Vishnu Pratapagiri, ont découvert une nouvelle version dangereuse du malware Android GodFather, utilisant une technique avancée appelée virtualisation sur appareil pour prendre le contrôle d'applications mobiles légitimes. Ce malware cible particulièrement les applications bancaires et de cryptomonnaie, transformant votre appareil en espion.

Au lieu d'afficher une fausse image, le logiciel malveillant installe une application hôte cachée, qui télécharge et exécute ensuite une copie réelle de votre application bancaire ou cryptographique dans son propre espace contrôlé, un sandbox. Lorsque vous essayez d'ouvrir votre application réelle, le logiciel malveillant vous redirige vers cette version virtuelle.

Le logiciel malveillant surveille et contrôle ensuite chaque action, chaque appui et chaque mot que vous saisissez en temps réel, rendant ainsi presque impossible toute détection d'anomalie, puisque vous interagissez avec la véritable application, mais dans un environnement manipulé. Cette technique sophistiquée permet aux attaquants d'obtenir vos noms d'utilisateur, mots de passe et codes PIN, et ainsi de prendre le contrôle total de vos comptes.

Cette méthode confère aux attaquants un avantage considérable. Ils peuvent voler des données sensibles dès leur saisie, et même modifier le fonctionnement de l'application, contournant ainsi les contrôles de sécurité, notamment ceux qui détectent le rootage d'un téléphone. Le malware bancaire GodFather, notamment, est conçu en détournant plusieurs outils open source légitimes, tels que VirtualApp et XposedBridge, pour exécuter ses attaques trompeuses et échapper à la détection.

Bien que GodFather utilise sa virtualisation avancée, il continue également d'utiliser des attaques traditionnelles par superposition, plaçant des écrans trompeurs directement sur des applications légitimes. Cette double approche démontre la remarquable capacité des acteurs malveillants à adapter leurs méthodes.

Selon le blog de l'entreprise, la campagne de malwares Android GodFather est très répandue, ciblant 484 applications dans le monde, bien que cette attaque de virtualisation très avancée cible actuellement 12 institutions financières turques spécifiques. Cette vaste portée couvre non seulement les plateformes bancaires et de cryptomonnaies, mais aussi les principaux services mondiaux de paiement, de commerce électronique, de médias sociaux et de communication.

Le malware utilise également des astuces astucieuses pour échapper aux outils de sécurité. Il modifie la structure des fichiers APK (packages d'applications Android), en altérant leur structure pour les faire paraître chiffrés ou en ajoutant des informations trompeuses comme $JADXBLOCK . Il déplace également une grande partie de son code malveillant vers la partie Java de l'application et rend son fichier manifeste Android plus difficile à lire en y ajoutant des informations non pertinentes.

Des investigations plus poussées ont révélé que GodFather utilise toujours les services d'accessibilité d'Android (conçus pour aider les utilisateurs en situation de handicap) pour inciter les utilisateurs à installer des parties cachées de son application. L'application utilise des messages trompeurs tels que « Vous avez besoin d'une autorisation pour utiliser toutes les fonctionnalités de l'application » et, une fois les autorisations d'accessibilité obtenues, elle peut s'en octroyer secrètement à l'insu de l'utilisateur.

De plus, le logiciel malveillant masque ses informations importantes, comme sa connexion à son serveur de contrôle (C2), sous forme codée, ce qui le rend plus difficile à traquer. Une fois actif, il envoie les détails de votre écran aux attaquants, leur offrant une vue en temps réel de votre appareil. Cette découverte met donc en évidence le défi constant que représente la sécurité mobile , les menaces devenant de plus en plus complexes et difficiles à détecter.

« Il s'agit d'une technique inédite et j'en perçois le potentiel » , a déclaré Casey Ellis , fondateur de Bugcrowd. « Il sera intéressant de voir son efficacité réelle, que les acteurs malveillants décident ou non de la déployer hors de Turquie, et si d'autres acteurs malveillants tentent de reproduire une approche similaire. »