BaFin und BSI warnen vor Android Banking-Trojaner Godfather

B2B Cyber Security ShortNews

Beitrag teilen

Der Android Banking-Trojaner Godfather hat sich zu einer großen Gefahr entwickelt. Nun sah sich nach dem BSI auch die BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht – genötigt eine Warnung herauszugeben. Die App greift inzwischen Opfern bei der Nutzung von über 400 internationalen Zielen, darunter Bankanwendungen, Kryptowährungs-Wallets und Krypto-Börsen an. Einige Schutz-Apps erkennen inzwischen die Gefahr und wehren Godfather ab, so das Testlabor AV-TEST.

Der Banking-Trojaner Godfather treibt unter Android sein Unwesen und ist nur sehr schwer zu erkennen. Zu den Zielen von Godfather gehören Finanzdienstleister in Kanada, Frankreich, Deutschland, Großbritannien, Italien und Polen – sie sind am stärksten betroffen. Dazu kommen 49 Finanzinstitute in den USA , 31 in der Türkei und 30 in Spanien ansässige Unternehmen. Nun warnt das BSI und die BaFin.

Anzeige

Godfather zeigt perfekt gefälschte Webseiten

Sobald ein Nutzer eines infizierten Gerätes die Webseite seines Finanzdienstleister aufruft, überlagert Godfather echte Webseiten mit Webseiten-Fälschungen. Gibt ein Nutzer die Logindaten ein, werden diese abgegriffen und weitergeleitet. Danach verschickt die Schadsoftware Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyber-Kriminellen möglicherweise dann auf die Konten und Wallets von Nutzern zugreifen.

Verseuchte App imitiert Google Play Protect

Der Android-Trojaner versteckt sich immer noch in vielen Apps aus diversen App-Stores und wohl immer wieder auch im Google App Store. Sobald die App gestartet wird, zeigt sie eine Animation, wie Google Play Protect das System nach verseuchten Apps scannt. Aber die Anzeige ist nur eine animierte Fälschung.

Der Trojaner prüft sogar die am Gerät verwendete Sprache. Sobald er diese Sprachen antrifft, wird er nicht aktiv:

  • RU (Russland)
  • AZ (Aserbaidschan)
  • AM (Armenia)
  • BY (Weißrussland)
  • KZ (Kasachstan)
  • KG (Kirgistan)
  • MD (Moldawien)
  • UZ (Usbekistan)
  • TJ (Tadschikistan)

Die Experten der Group IB, die den Trojaner untersucht haben, vermuten daher, dass die Entwickler in einem der aufgeführten Staaten sitzen.

Gibt es Schutz vor Trojaner Godfather?

Ein wichtiges Detail zum Trojaner Godfather ist, dass er nicht funktioniert, wenn ihm unter Android kein Zugriff auf den AccessibilityService gewährt wird. Die Accessibility Services ermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Eine App mit diesen Rechten läuft dann als Bedienungshilfe im Hintergrund und reagiert auf ein Ereignis in einer anderen App, indem sie etwa Bildschirminhalte überblendet oder automatisch Textfelder ausfüllt. Das ist der Trick des Trojaners.

AV-TEST: Nur einige Apps erkennen GodFather

Auf Nachfrage bei AV-TEST am 08.01.2023, ob denn Schutz-Apps für Android die Malware GodFather erkennen, war das Ergebnis noch durchwachsen. Die Schutz-Apps für Android-Geräte von Avira, DrWeb, Fortinet, ikarus, Kaspersky, Ahnlab, Sophos, Symantec und TrendMicro erkennen die Gefahr.

Red./sel

 

Passende Artikel zum Thema

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen