Le cheval de Troie bancaire Anubis a un successeur, GodFather
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Le logiciel malveillant a été paramétré pour épargner les cibles russes
Group-IB a récemment identifié une nouvelle famille de logiciels malveillants, apparue à l’été 2021 : il s’agit d’un cheval de Troie bancaire, baptisé GodFather. Il a ciblé en 18 mois plus de 400 services financiers, dont 215 banques et 204 plateformes de cryptomonnaies.
Selon Group-IB, il s’agirait d’une version modernisée d’Anubis, un trojan dévastateur désormais obsolète. Les deux logiciels partagent une base de code commune, mais rien n’assure qu’ils ont les même développeurs. Le code d’Anubis est en effet en accès libre depuis 2019, et GodFather diffère notamment par son protocole de communication avec les serveurs de code et de commande.
D’un point de vue opérationnel, GodFather se dissimule en particulier dans une fausse application de musique turque. Une fois installé, le cheval de Troie imite Google Protect, et lance une fausse analyse de l’appareil pendant qu’il étend son emprise. Il cible ensuite les noms d’utilisateurs et les mots de passe.
Classiquement, GodFather peut enregistrer la frappe, réaliser des captures d’écran, extraire des contacts ou des SMS, ou lancer de fausses notifications. Il peut également envoyer des faux formulaires de connexion à des applications bancaires, pour siphonner ces informations.
Les opérateurs du cheval de Troie n’ont pas été identifiés. Mais GodFather ne s’active pas si la langue de l’appareil infecté est le russe ou huit autres langues de pays proches de la Russie. Il est donc probablement diffusé avec la bénédiction, sinon le soutien, du Kremlin.