GodFather 2.0 : le malware qui virtualise vos applis pour mieux vous voler

Tech / Mobile / Applications / Sécurité
Par Christophe Romei publié le 10 juillet 2025 à 8h00.
Tech
Piratage smartphone

Image d'illustration. Piratage smartphoneADN

Une nouvelle version de GodFather utilise la virtualisation mobile pour piéger les applis légitimes et dérober données bancaires et cryptos en toute discrétion. Une menace redoutable et inédit

Tl;dr

  • Malware GodFather virtualise les applis bancaires sur mobile.
  • Il vole identifiants et codes PIN en temps réel.
  • Cible des institutions financières turques principalement.

Une évolution inquiétante du malware GodFather

Les experts de Zimperium zLabs viennent de mettre au jour une nouvelle version du célèbre malware bancaire GodFather, bien plus sophistiquée que ses prédécesseurs. Ce logiciel malveillant se distingue par l’adoption d’une technique avancée de virtualisation sur appareil, transformant la manière dont les cybercriminels s’en prennent aux applications bancaires et cryptomonnaies sur mobile. En créant un véritable environnement virtuel sur le téléphone de la victime, il devient possible pour l’attaquant de prendre le contrôle total des applications ciblées, en contournant aisément les méthodes classiques de détection.

Un mode opératoire inédit : la virtualisation des applis légitimes

Concrètement, plutôt que de simplement afficher une fausse page de connexion, GodFather installe une application « hôte » piégée, embarquant un framework de virtualisation. Cette application télécharge ensuite la vraie application bancaire ou crypto visée et l’exécute dans un espace isolé sous son contrôle exclusif. L’utilisateur croit manipuler son appli habituelle alors qu’en réalité, chacune de ses actions — saisie d’identifiants, codes PIN ou interactions à l’écran — est minutieusement surveillée et interceptée par le malware.

Plusieurs éléments expliquent cette efficacité redoutable :

  • Visibilité totale sur les processus applicatifs, ce qui permet d’intercepter en temps réel toutes les données sensibles.
  • Détournement des contrôles de sécurité, grâce à l’utilisation de frameworks comme Xposed pour modifier le comportement même des applis virtualisées.
  • Evasion poussée, avec manipulation des fichiers ZIP, obfuscation du manifeste Android et déplacement du code malveillant vers la couche Java afin d’échapper à l’analyse statique.

Des cibles bien identifiées : la Turquie en première ligne

L’enquête révèle que si près de 500 applications mondiales sont concernées, cette campagne s’attaque prioritairement à une douzaine d’établissements financiers turcs — Akbank, Yapı Kredi Mobile ou encore Garanti BBVA figurent parmi les victimes. Le mode opératoire a évolué depuis les précédents cas documentés (« FjordPhantom » notamment), confirmant une escalade technologique majeure chez les cybercriminels.

Espionnage poussé et compromission massive des données

Ce qui frappe, c’est la capacité du malware à extraire non seulement identifiants et mots de passe mais également le schéma ou le code PIN verrouillant le téléphone. Qu’il s’agisse d’applications bancaires internationales, d’exchanges crypto ou même de services populaires tels que messageries ou plateformes e-commerce, la liste des cibles illustre une volonté claire : transformer tout smartphone infecté en outil d’espionnage et de vol à grande échelle.

En définitive, cette variante de GodFather met à mal la confiance fondamentale accordée aux applications mobiles légitimes. Dès lors que l’environnement du téléphone lui-même n’est plus fiable, même un utilisateur vigilant risque fort d’être trompé sans le moindre signe apparent. Une menace qui impose plus que jamais une vigilance renforcée et une adaptation continue des solutions de sécurité mobile.

En savoir plus