Apparu fin 2022 dans le viseur de l’Autorité fédérale allemande de surveillance financière (BaFin), le malware Android Godfather s’est imposé comme l’une des menaces les plus sophistiquées visant les applications crypto et bancaires. En 2026, il cible 484 applications dans plus de 16 pays et a adopté la virtualisation sur appareil pour contourner les antivirus, selon Security Affairs. Kaspersky signale parallèlement une explosion de 3,6x des victimes de trojans mobiles bancaires en 2024.
En bref
Godfather est un descendant du malware Anubis, spécialisé dans les attaques par superposition sur Android. Il affiche de faux écrans de connexion sur les vraies applications bancaires et crypto pour voler les identifiants. En 2025, sa nouvelle version utilise la virtualisation sur appareil (sandbox hijacking) pour échapper aux détections. Il cible 484 applications dans 16 pays, principalement aux États-Unis, en Europe et en Turquie.
Comment fonctionne Godfather ?
Godfather se diffuse principalement via des applications Android malveillantes téléchargées hors du Play Store, se faisant passer pour des outils de configuration système. Une fois installé, il exploite les accessibilité services d’Android pour superposer de faux écrans de connexion sur les applications bancaires et crypto légitimes. Les identifiants saisis sont transmis en temps réel aux cybercriminels. La fonctionnalité RAT (Remote Administration Tool) lui permet aussi d’intercepter les codes 2FA envoyés par SMS.
En 2025, la version la plus récente de Godfather a franchi un cap supplémentaire en adoptant la virtualisation sur appareil (sandbox hijacking via le framework Xposed). Cette technique permet au malware de fonctionner dans un environnement isolé au sein même du téléphone, rendant sa détection par les antivirus classiques beaucoup plus difficile. Le code est également obfusqué au niveau de l’APK pour contourner les analyses statiques.
Quelles applications sont ciblées ?
En 2023, Godfather ciblait environ 400 applications dans plus de 16 pays. En 2025-2026, ce chiffre est passé à 484 applications, incluant des exchanges crypto majeurs, des wallets, des plateformes bancaires et des applications de paiement mobile. Les pays les plus touchés sont les États-Unis, l’Allemagne, la Turquie, l’Espagne, le Canada et la France. La BaFin avait émis un avertissement officiel dès janvier 2023, sans pouvoir identifier précisément la chaîne d’infection initiale.
Un contexte de menaces mobiles en forte hausse
Godfather n’est pas un cas isolé. Kaspersky a documenté une hausse de 3,6x des victimes de trojans mobiles bancaires entre 2023 et 2024 (de 69 200 à 247 949 utilisateurs affectés), accompagnée d’une augmentation de 83,4 % des tentatives de phishing crypto bloquées (5,8 millions à 10,7 millions de liens). Plusieurs nouvelles familles de malwares Android ont émergé simultanément : Rokarolla (200 applications ciblées), Albiriox (contrôle à distance en temps réel), et ToxicPanda (ciblant les banques européennes). Les attaques de trojans bancaires sur smartphones ont progressé de 56 % en 2025.
Comment se protéger contre Godfather ?
La protection contre Godfather repose sur plusieurs bonnes pratiques. Ne jamais installer d’APK en dehors du Google Play Store officiel est la règle fondamentale. Il faut également désactiver les permissions d’accessibilité pour les applications inconnues et utiliser une solution antivirus mobile reconnue. L’activation de l’authentification à deux facteurs via une application dédiée (plutôt que par SMS, interceptable par Godfather) renforce la sécurité. Les utilisateurs de wallets crypto doivent privilégier les solutions hardware (Ledger, Trezor) qui ne sont pas vulnérables aux attaques par superposition d’écran. Enfin, surveiller régulièrement ses transactions sur les exchanges crypto est indispensable pour détecter toute activité suspecte.
Questions fréquentes
Godfather affecte-t-il les iPhones ?
Non. Godfather est exclusivement un malware Android. iOS dispose d’une architecture plus restrictive qui empêche les attaques par superposition et interdit l’installation d’applications hors de l’App Store (sauf exceptions en UE depuis 2024). Les utilisateurs iPhone sont donc protégés contre cette menace spécifique.
Comment savoir si mon téléphone est infecté par Godfather ?
Les symptômes incluent une batterie qui se vide anormalement vite, des applications qui se ferment seules, des demandes inhabituelles de permissions d’accessibilité, ou des transactions non reconnues sur vos comptes. Un scan avec un antivirus mobile reconnu (Kaspersky, Bitdefender) peut détecter les variantes connues de Godfather.
Godfather peut-il vider un wallet hardware ?
Non. Les wallets hardware (Ledger, Trezor) signent les transactions hors ligne et ne sont pas accessibles aux applications Android. Godfather ne peut compromettre que les applications crypto installées sur l’appareil, comme les wallets mobiles ou les applications d’exchange.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash