BaFin und BSI warnen vor Android Banking-Trojaner Godfather

B2B Cyber Security ShortNews

Beitrag teilen

Der Android Banking-Trojaner Godfather hat sich zu einer großen Gefahr entwickelt. Nun sah sich nach dem BSI auch die BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht – genötigt eine Warnung herauszugeben. Die App greift inzwischen Opfern bei der Nutzung von über 400 internationalen Zielen, darunter Bankanwendungen, Kryptowährungs-Wallets und Krypto-Börsen an. Einige Schutz-Apps erkennen inzwischen die Gefahr und wehren Godfather ab, so das Testlabor AV-TEST.

Der Banking-Trojaner Godfather treibt unter Android sein Unwesen und ist nur sehr schwer zu erkennen. Zu den Zielen von Godfather gehören Finanzdienstleister in Kanada, Frankreich, Deutschland, Großbritannien, Italien und Polen – sie sind am stärksten betroffen. Dazu kommen 49 Finanzinstitute in den USA , 31 in der Türkei und 30 in Spanien ansässige Unternehmen. Nun warnt das BSI und die BaFin.

Anzeige

Godfather zeigt perfekt gefälschte Webseiten

Sobald ein Nutzer eines infizierten Gerätes die Webseite seines Finanzdienstleister aufruft, überlagert Godfather echte Webseiten mit Webseiten-Fälschungen. Gibt ein Nutzer die Logindaten ein, werden diese abgegriffen und weitergeleitet. Danach verschickt die Schadsoftware Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyber-Kriminellen möglicherweise dann auf die Konten und Wallets von Nutzern zugreifen.

Verseuchte App imitiert Google Play Protect

Der Android-Trojaner versteckt sich immer noch in vielen Apps aus diversen App-Stores und wohl immer wieder auch im Google App Store. Sobald die App gestartet wird, zeigt sie eine Animation, wie Google Play Protect das System nach verseuchten Apps scannt. Aber die Anzeige ist nur eine animierte Fälschung.

Der Trojaner prüft sogar die am Gerät verwendete Sprache. Sobald er diese Sprachen antrifft, wird er nicht aktiv:

  • RU (Russland)
  • AZ (Aserbaidschan)
  • AM (Armenia)
  • BY (Weißrussland)
  • KZ (Kasachstan)
  • KG (Kirgistan)
  • MD (Moldawien)
  • UZ (Usbekistan)
  • TJ (Tadschikistan)

Die Experten der Group IB, die den Trojaner untersucht haben, vermuten daher, dass die Entwickler in einem der aufgeführten Staaten sitzen.

Gibt es Schutz vor Trojaner Godfather?

Ein wichtiges Detail zum Trojaner Godfather ist, dass er nicht funktioniert, wenn ihm unter Android kein Zugriff auf den AccessibilityService gewährt wird. Die Accessibility Services ermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Eine App mit diesen Rechten läuft dann als Bedienungshilfe im Hintergrund und reagiert auf ein Ereignis in einer anderen App, indem sie etwa Bildschirminhalte überblendet oder automatisch Textfelder ausfüllt. Das ist der Trick des Trojaners.

AV-TEST: Nur einige Apps erkennen GodFather

Auf Nachfrage bei AV-TEST am 08.01.2023, ob denn Schutz-Apps für Android die Malware GodFather erkennen, war das Ergebnis noch durchwachsen. Die Schutz-Apps für Android-Geräte von Avira, DrWeb, Fortinet, ikarus, Kaspersky, Ahnlab, Sophos, Symantec und TrendMicro erkennen die Gefahr.

Red./sel

 

Passende Artikel zum Thema

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen

Die Hacker-Gruppe FunkSec

Ein Pionier bei Cyber-Sicherheitslösungen wirft einen Blick auf die Ransomware-Gruppe FunkSec aus Algerien. Sie war im Dezember 2024 die aktivste ➡ Weiterlesen

Oracle veröffentlicht im Januar 318 Sicherheitsupdates

Die Liste der 318 Sicherheitsupdates zeigt zwar nicht sofort die Risikobewertungen mit CVSS-Werten, aber ein Blick in die Beschreibungen zeigt ➡ Weiterlesen

Schwachstelle in Firewall von Fortinet

Ein Threat-Research-Team hat Anfang Dezember 2024 eine Kampagne mit verdächtigen Aktivitäten auf Fortinet FortiGate Firewall-Geräten beobachtet. Indem sie sich Zugang ➡ Weiterlesen

Ransomware & Co: Neue Malware-Machtverteilung 

Der aktuell ausgewertete Bedrohungsindex aus dem Dezember zeigt die Bedrohung durch FunkSec, eine Ransomware-Gruppe, die mit KI agiert. In Deutschland ➡ Weiterlesen

Trojaner Sliver-Implant zielt auf Unternehmen

Wie die Webseite Tarnkappe.info berichtet, zielt der Trojaner Sliver-Implant auf Unternehmen ab. In Windows Link-Dateien LNK versteckt sich Malware, die ➡ Weiterlesen

SAP Patches im Januar schließen kritische Lücken

SAP hat seine Januar-Liste mit Schwachstellen veröffentlicht, darunter zwei kritische mit dem CVSS-Wert 9.9 von 10, sowie drei hochgefährliche Lücken ➡ Weiterlesen