Le Parrain : le cheval de Troie bancaire qui fait des ravages en France

Le Parrain : le cheval de Troie bancaire qui fait des ravages en France

Le Play Store abrite une fois de plus un dangereux malware ! Baptisé Le Parrain, ce cheval de Troie vise les établissements financiers en imitant des applications légitimes et des outils de sécurité, y compris le Google Play Protect.

Une fois de plus, le Play Store abrite un dangereux malware. Baptisé Godfather (Le Parrain, en français), il s'agit d'un cheval de Troie extrêmement virulent et dont les secrets sont loin d'avoir complètement été percés. Il a été découvert par les analystes du Group-IB et le spécialiste américain de la sécurité Cyble. Le Parrain se base sur un ancien cheval de Trois Anubis, aujourd'hui obsolète suite à des mises à jour déployées par Google. En effet, on retrouve de nombreuses similarités entre les deux malwares, Anubis aspirant toutes les données de l'appareil infecté, dont la géolocalisation ou le numéro IMEI (un numéro d'identification unique), et demandant l'accès à certaines fonctions, comme l'appareil photo et le microphone. Manque de chance, Le Parrain s'est doté de nouveaux tours qui lui permettent de contourner les dernières défenses de Google. Apparu pour la première fois en juin 2021, il s'est fait plutôt discret, avant de réapparaitre en force en septembre 2022. Il a déjà ciblé 419 services financiers depuis son apparition, même si les rapports ne précisent pas le nom des établissements touchés.

Le Parrain : un cheval de Troie qui cible les applications bancaires

Le Parrain s'amuse à voler les données bancaires de ses victimes. Le malware s'en est déjà pris à 215 applications de banques internationales, 94 portefeuilles de crypto-monnaies et 110 plateformes d'échanges de cryptomonnaies. Ils sont situés principalement aux États-Unis (49), en Turquie (31) et en Espagne (30), mais également au Royaume-Uni, en Italie, en Allemagne et en France. Fait intéressant : il vérifie la langue dans lequel est paramétré le smartphone avant de lancer l'infection, et ne se lance pas s'il s'agit du russe, de l'azerbaïdjanais, de l'arménien, du biélorusse, du kazakh, du kirghiz, du moldave, de l'ouzbek et du tadjik explique IB-Group, ce qui laisse penser qu'il serait originaire d'un de ces pays.

Un exemple d'application vérolée © Group IB

Le Parrain fonctionne d'une manière simple mais efficace, ce qui le rend particulièrement dangereux, d'autant plus qu'il est très difficile de le détecter. Pour piéger ses victimes, il se fait passer pour Google Play Protect, le service de sécurité qui analyse toutes les applications installées et qui est donc présent sur tous les smartphones Android, allant jusqu'à imiter le scanner d'empreintes. Il en profite pour réclamer toute une série d'autorisations qui vont pouvoir lui permettre d'exécuter des actions malveillantes sur l'appareil infecté. Pire encore, une fois installé, il est impossible d'en supprimer le malware.

Le Parrain : un malware avec de multiples cordes à son arc

Une fois bien installé, Le Parrain s'empare des SMS, des notifications, des contacts, de l'historique des appels et des données stockées sur la mémoire interne. Mais, surtout, il réalise des captures d'écran de l'appareil, lance un enregistreur de frappe, envoie des SMS et transfère même appels grâce à l'établissement de connexions VNC et WebSocket – un petit ajout à la version de septembre 2022. Autant de techniques qui lui permettent "de voler les données saisies par l'utilisateur dans des applications légitimes", prévient le Group-IB, et ainsi collecter les identifiants de connexion, y compris en contournant l'authentification à double facteur. Par exemple, en Turquie, Le Parrain s'est fait passer pour une application de musique qui a été téléchargée plus de 10 millions de fois – depuis, elle a été bannie du Play Store.

Un exemple d'application vérolée © Group IB

Si, comme souvent, le cheval de Troie peut arriver sur un mobile grâce à une application frauduleuse installée via le Play Store, Group-IB souligne que cette méthode est seulement "une des manières dont le malware est diffusé", et toutes n'ont pas encore été découvertes. On sait seulement que les pirates le déploient sur des boutiques alternatives ou directement sur Internet, par le biais de publicités. C'est pourquoi il est recommandé de ne télécharger que des applications provenant de sources sûres, de développeurs connus, de ne pas suivre des liens suspects envoyés par message, de limiter à l'essentiel le nombre d'applications installées sur son téléphone et de les désinstaller dès qu'elles n'ont plus d'utilité.