C’est peut-être l’attaque mobile la plus sournoise de l’année. Le malware GodFather est de retour, et il est désormais capable de faire tourner vos vraies applis bancaires dans un environnement virtuel contrôlé.

Ce trojan bancaire exécute vos applis Android dans un environnement virtualisé pour voler vos identifiants. © Ball SivaPhoto / Shutterstock
Ce trojan bancaire exécute vos applis Android dans un environnement virtualisé pour voler vos identifiants. © Ball SivaPhoto / Shutterstock
L'info en 3 points
  • GodFather, un malware sournois, exécute vos applis bancaires dans un environnement virtuel pour voler vos données.
  • Ce trojan utilise une fausse app Android pour isoler et contrôler les applications légitimes, rendant la détection difficile.
  • Pour se protéger, vérifiez les autorisations des apps, restez vigilant et maintenez votre système à jour.

Déjà repéré en 2022 pour ses campagnes de phishing ciblées, GodFather affichait alors des interfaces frauduleuses par-dessus les applications bancaires, dans le but d’intercepter les identifiants des victimes. Mais depuis, le malware a changé de méthode. Dans sa version la plus récente, documentée par Zimperium, ce trojan bancaire ne se limite plus aux techniques classiques d’overlay. Il exécute désormais les applications légitimes dans un environnement virtuel contrôlé, directement sur l’appareil de la victime. Une approche plus discrète, qui complique la détection par les outils de sécurité et remet en question la fiabilité d’applications sensibles pourtant installées depuis des sources officielles.

Un conteneur virtuel pour capter silencieusement les saisies dans des applis légitimes

Dans sa dernière version, GodFather s’appuie sur une application Android piégée, conçue pour faire tourner d’autres applications dans un environnement isolé. Une fois installée, cette fausse app scanne l’appareil à la recherche d’applications à cibler – principalement bancaires ou crypto –, télécharge leurs APK officielles, puis les déploie dans son propre conteneur virtualisé. Lorsqu’une de ces applications légitimes est ensuite ouverte par l’utilisateur ou l’utilisatrice, le malware intercepte la requête et la redirige vers son instance virtualisée, exécutée dans son espace cloisonné.

Entendons-nous bien, il ne s’agit pas d’une imitation, mais bien de l’application d’origine, exécutée à partir de son fichier officiel, avec la même interface et les mêmes fonctionnalités. La seule différence, invisible pour la victime, tient à l’endroit où elle tourne : non plus dans l’environnement Android, mais dans un cadre isolé contrôlé par le malware, depuis lequel il active les services d’accessibilité pour lire les champs remplis, capter les gestes, et récupérer identifiants, mots de passe, codes de verrouillage d’écran ou toute autre donnée saisie.

En parallèle, GodFather intercepte certaines fonctions internes des applications ciblées, notamment celles qui gèrent les connexions réseau. Il peut ainsi accéder aux données échangées avec les serveurs, sans modifier l’affichage ni perturber le fonctionnement apparent de l’application.

Pour rester discret, GodFather cumule plusieurs techniques d’évasion. Le fichier d’installation est modifié pour tromper les outils d’analyse automatique, le manifeste Android est truqué, et une partie du code est déplacée dans des zones du système moins surveillées. À noter que le malware falsifie aussi les réponses aux vérifications internes censées aider les applications bancaires à repérer un usage suspect des services d’accessibilité.

Pour l’instant, la campagne cible un peu moins de 500 applications populaires de shopping, de livraison, de messagerie, de réseaux sociaux, de services bancaires ou crypto, avec une forte concentration en Europe et en Amérique du Nord. Et la liste ne cesse de s’allonger.

GodFather exécute vos applis dans un conteneur virtuel qu'il contrôle pour dérober vos identifiants, mots de passe et autres codes de déverouillage. © TStudious / Shutterstock
GodFather exécute vos applis dans un conteneur virtuel qu'il contrôle pour dérober vos identifiants, mots de passe et autres codes de déverouillage. © TStudious / Shutterstock

Comment limiter les risques, sans céder à la paranoïa

Même si ce type d’attaque repose avant tout sur la discrétion et l’usurpation, il est toujours possible de limiter les risques. Avant toute chose, les droits d’accessibilité qu’aux applications dont vous êtes certain ou certaine de la légitimité.

Il est tout aussi utile de jeter un œil aux autorisations réclamées dès l’installation. Un service qui insiste sans raison pour accéder à la gestion des notifications, à la configuration système ou qui affiche des messages suspects doit être désinstallé sans hésitation. La règle vaut aussi pour les applications téléchargées au sein même du Play Store qui, même s’il est mieux sécurisé que les stores alternatifs, n’est pas toujours infaillible non plus.

Un antivirus mobile peut compléter vos réflexes cyber, mais il n’offre pas de garantie totale face à des attaques de ce niveau si vous ne faites pas preuve d’un minimum de vigilance en parallèle.

Enfin, il n’est jamais inutile de rappeler que la sécurité commence aussi par une mise au point attentive sur ses propres habitudes. Tenez votre système à jour, évitez de multiplier les installations inutiles et désinstallez ce que vous n’utilisez plus.

Source : Zimperium

À découvrir
Meilleur antivirus, le comparatif en juin 2025

30 mai 2025 à 09h45

Comparatifs services