MtoM Mag - Le journal de l'MtoM.

Celui-ci utilise désormais une technique avancée de virtualisation embarquée, lui permettant de détourner les applications mobiles bancaires et de cryptomonnaies, directement depuis les smartphones des victimes. Indétectables à l’œil nu, ces attaques redéfinissent les règles de la sécurité mobile.

GodFather ne se contente plus de simuler une interface de connexion, il créé un environnement virtuel isolé sur l’appareil infecté. Concrètement, il installe une application hôte malveillante, contenant un framework de virtualisation, qui télécharge et exécute une copie de l’application bancaire réelle dans une « sandbox » contrôlée par l’attaquant. Lorsque l’utilisateur lance son application, il est redirigé à son insu vers cette version virtualisée, où chaque action, saisie et interaction est surveillée et contrôlée à distance.

Cette approche permet à GodFather de capturer en temps réel des identifiants, des mots de passe, des codes PIN, des schémas de verrouillage du téléphone, voire de contrôler les gestes des utilisateurs. Par ailleurs, le malware peut contourner les contrôles de sécurité (détection de root, restrictions d’accessibilité, vérifications d’intégrité) via des frameworks comme Xposed ou VirtualApp. Cette technique pose un nouveau défi aux équipes de sécurité mobile car elle permet à l’attaque d’être totalement indétectable par les utilisateurs et les systèmes de sécurité traditionnels.

Bien que sa portée soit mondiale, avec près de 500 applications mobiles visées (banques internationales, services de paiement, applications de messagerie, plateformes e-commerce) et plus de 100 apps liées aux cryptomonnaies, GodFather concentre actuellement ses attaques sur 12 institutions financières turques.

D’après zLabs, ce malware compromet la relation de confiance entre l’utilisateur et ses applications, faisant du smartphone un environnement vulnérable, où même les applications légitimes peuvent être détournées à des fins malveillantes.

https://www.zimperium.com/