Il y a quelques années, le malware Anubis s’attaquait aux smartphones Android. Alors qu’il a été rendu obsolète, un nouveau malware similaire vient d’apparaître. Baptisé Godfather, il cible des banques et plateformes de services pour les cryptomonnaies.

Anubis est un malware Android qui était caché dans certaines applications. Il était téléchargé avec l’application et pouvait rester inactif pendant une longue durée avant de s’activer après avoir trompé les systèmes de sécurité. Une fois activé, il était capable de collecter le numéro IMEI du smartphone, les informations de géolocalisation, les fichiers sauvegardés, prendre des captures d’écran, etc. Les hackers pouvaient ainsi collecter les identifiants de différents sites web mais également utiliser ces informations pour tromper les programmes de détection de fraude mis en place par les banques. Après avoir fait des dégâts à plusieurs reprises, le malware a été rendu inefficace par différentes mesures de sécurité.

Selon Group-IB, entreprise spécialisée dans la cybersécurité, un nouveau malware partageant des similitudes est apparu. Baptisé Godfather, les deux applications partagent une base de code commune. Cela ne signifie toutefois pas pour autant que les développeurs sont les mêmes. En effet, le code source d’Anubis est en libre accès depuis 2019. Plus moderne, ce nouveau malware est capable de contourner les sécurités existantes. Une fois lancé, Godfather imite Google Protect, application conçue pour détecter les menaces, et réalise une fausse analyse avant de s’installer en arrière-plan. Après cela, il est capable de prendre des captures d’écran, extraire des contacts et SMS, enregistrer la frappe ou encore envoyer de fausses notifications. Il est capable de superposer de faux formulaires de connexion aux applications bancaires et de cryptomonnaies visées. Ainsi, les utilisateurs pensant se connecter à leur application bancaire permettent en réalité aux hackers d’y accéder. Godfather cible pas moins de 204 plateformes de services pour les cryptomonnaies et 215 banques.

 De façon assez étrange Godfather se désactive s’il détecte que le téléphone est configuré en russe ou dans huit autres langues de pays limitrophes à la Russie. Cela amène donc à penser que les développeurs derrière ce nouveau malware pourraient être russes, ou vivre dans un pays de la Communauté des États Indépendants. Pour l’heure, ce nouveau malware n’a été détecté que dans une fausse application de musique turque. Il pourrait toutefois se trouver dans d’autres applications. Si le risque est donc faible à l’heure actuelle, il est judicieux d’être prudent sur Android et de ne télécharger que des applications dont la source est fiable. Pour rappel, Anubis était parvenu à passer au travers des sécurités du Play Store et à s’infiltrer sur le magasin d’application de Google, il ne doit donc pas être considéré comme entièrement fiable.