Plus de 1,000 XNUMX échantillons du cheval de Troie bancaire mobile Godfather circulent dans des dizaines de pays à travers le monde, ciblant des centaines d'applications bancaires.
Découvert pour la première fois en 2022, Godfather – qui peut enregistrer des écrans et des frappes au clavier, intercepter des appels et des SMS avec authentification à deux facteurs (2FA), initier des virements bancaires, etc. – est rapidement devenu l'une des offres de malware en tant que service les plus répandues au monde. la cybercriminalité, en particulier la cybercriminalité mobile. D'après Zimperium 2023 « Rapport sur les braquages des services bancaires mobiles » À la fin de l'année dernière, Godfather ciblait 237 applications bancaires réparties dans 57 pays. Ses filiales ont exfiltré des informations financières volées vers au moins neuf pays, principalement en Europe et notamment aux États-Unis.
Tout ce succès a attiré l'attentionAinsi, pour éviter que les logiciels de sécurité ne gâchent la fête, les développeurs de Godfather ont généré automatiquement de nouveaux échantillons pour leurs clients à une échelle quasi industrielle.
D’autres développeurs de logiciels malveillants mobiles de tous horizons ont commencé à faire la même chose. "Ce que nous constatons, c'est que les campagnes de malware commencent à prendre de l'ampleur", prévient Nico Chiaraviglio, scientifique en chef chez Zimperium, qui animera une session sur ce sujet et sur d'autres tendances en matière de logiciels malveillants mobiles au RSAC en mai.
Outre Godfather et d'autres familles connues, Chiaraviglio traque une famille de logiciels malveillants mobiles encore plus importante et encore secrète, avec plus de 100,000 XNUMX échantillons uniques dans la nature. « Alors c'est fou », dit-il. « Nous n'avons jamais vu autant d'échantillons dans un seul malware auparavant. C’est définitivement une tendance.
Les chevaux de Troie bancaires génèrent des centaines d'échantillons
La sécurité mobile est déjà loin derrière la sécurité des ordinateurs de bureau. « Dans les années 90, personne n'utilisait vraiment d'antivirus sur les ordinateurs de bureau, et c'est un peu là où nous en sommes aujourd'hui. Aujourd’hui, seul un utilisateur sur quatre utilise réellement une sorte de protection mobile. Vingt-cinq pour cent des appareils ne sont absolument pas protégés, contre 85 % pour les ordinateurs de bureau », déplore Chiaraviglio.
Les menaces mobiles, quant à elles, progressent rapidement. Ils y parviennent notamment en générant tellement d'itérations différentes que les programmes antivirus – qui profilent les logiciels malveillants par leurs signatures uniques – ont du mal à corréler une infection avec la suivante.
Considérez qu’au moment de sa découverte initiale en 2022, selon Chiaraviglio, il y avait moins de 10 échantillons de Parrain dans la nature. À la fin de l’année dernière, ce nombre avait été multiplié par cent.
Ses développeurs ont clairement généré automatiquement des échantillons uniques pour les clients afin de les aider à éviter d'être détectés. «Ils pourraient simplement tout écrire dans un script – ce serait un moyen de l'automatiser. Une autre façon serait de utiliser de grands modèles de langage, car l'assistance au code peut vraiment accélérer le processus de développement », explique Chiaraviglio.
D’autres développeurs de chevaux de Troie bancaires ont suivi la même approche, quoique à moindre échelle. En décembre, Zimperium a recensé 498 échantillons du proche concurrent de Godfather, Nexus, 300 échantillons de Saderat et 123 de PixPirate.
Les logiciels de sécurité peuvent-ils suivre le rythme ?
Les solutions de sécurité qui marquent les logiciels malveillants par signature auront du mal à suivre des centaines, voire des milliers d’échantillons par famille.
« Il y a peut-être beaucoup de réutilisation de code entre différents échantillons », explique Chiaraviglio, ce qu'il suggère que des solutions adaptatives puissent utiliser pour corréler les logiciels malveillants associés avec différentes signatures. Alternativement, au lieu du code lui-même, les défenseurs peuvent utiliser l’intelligence artificielle (IA) pour se concentrer sur les comportements des logiciels malveillants. Avec un modèle capable de faire cela, dit Chiaraviglio, "peu importe à quel point vous modifiez le code ou l'apparence de l'application, nous serons toujours en mesure de le détecter."
Mais, admet-il, « en même temps, c'est toujours une course. Nous faisons quelque chose [pour ajuster], puis l'attaquant fait quelque chose pour évoluer selon nos prédictions. [Par exemple], ils peuvent demander à [un grand modèle de langage] de muter leur code autant que possible. Ce serait le domaine des logiciels malveillants polymorphes, ce qui n’est pas courant sur mobile, mais nous pourrions commencer à en voir beaucoup plus.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/endpoint-security/godfather-banking-trojan-spawns-1k-samples-57-countries
