Der Android Banking-Trojaner Godfather hat sich zu einer großen Gefahr entwickelt. Nun sah sich nach dem BSI auch die BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht – genötigt eine Warnung herauszugeben. Die App greift inzwischen Opfern bei der Nutzung von über 400 internationalen Zielen, darunter Bankanwendungen, Kryptowährungs-Wallets und Krypto-Börsen an. Einige Schutz-Apps erkennen inzwischen die Gefahr und wehren Godfather ab, so das Testlabor AV-TEST.
Der Banking-Trojaner Godfather treibt unter Android sein Unwesen und ist nur sehr schwer zu erkennen. Zu den Zielen von Godfather gehören Finanzdienstleister in Kanada, Frankreich, Deutschland, Großbritannien, Italien und Polen – sie sind am stärksten betroffen. Dazu kommen 49 Finanzinstitute in den USA , 31 in der Türkei und 30 in Spanien ansässige Unternehmen. Nun warnt das BSI und die BaFin.
Godfather zeigt perfekt gefälschte Webseiten
Sobald ein Nutzer eines infizierten Gerätes die Webseite seines Finanzdienstleister aufruft, überlagert Godfather echte Webseiten mit Webseiten-Fälschungen. Gibt ein Nutzer die Logindaten ein, werden diese abgegriffen und weitergeleitet. Danach verschickt die Schadsoftware Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyber-Kriminellen möglicherweise dann auf die Konten und Wallets von Nutzern zugreifen.
Verseuchte App imitiert Google Play Protect
Der Android-Trojaner versteckt sich immer noch in vielen Apps aus diversen App-Stores und wohl immer wieder auch im Google App Store. Sobald die App gestartet wird, zeigt sie eine Animation, wie Google Play Protect das System nach verseuchten Apps scannt. Aber die Anzeige ist nur eine animierte Fälschung.
Der Trojaner prüft sogar die am Gerät verwendete Sprache. Sobald er diese Sprachen antrifft, wird er nicht aktiv:
- RU (Russland)
- AZ (Aserbaidschan)
- AM (Armenia)
- BY (Weißrussland)
- KZ (Kasachstan)
- KG (Kirgistan)
- MD (Moldawien)
- UZ (Usbekistan)
- TJ (Tadschikistan)
Die Experten der Group IB, die den Trojaner untersucht haben, vermuten daher, dass die Entwickler in einem der aufgeführten Staaten sitzen.
Gibt es Schutz vor Trojaner Godfather?
Ein wichtiges Detail zum Trojaner Godfather ist, dass er nicht funktioniert, wenn ihm unter Android kein Zugriff auf den AccessibilityService gewährt wird. Die Accessibility Services ermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Eine App mit diesen Rechten läuft dann als Bedienungshilfe im Hintergrund und reagiert auf ein Ereignis in einer anderen App, indem sie etwa Bildschirminhalte überblendet oder automatisch Textfelder ausfüllt. Das ist der Trick des Trojaners.
AV-TEST: Nur einige Apps erkennen GodFather
Auf Nachfrage bei AV-TEST am 08.01.2023, ob denn Schutz-Apps für Android die Malware GodFather erkennen, war das Ergebnis noch durchwachsen. Die Schutz-Apps für Android-Geräte von Avira, DrWeb, Fortinet, ikarus, Kaspersky, Ahnlab, Sophos, Symantec und TrendMicro erkennen die Gefahr.
Red./sel