BaFin und BSI warnen vor Android Banking-Trojaner Godfather

B2B Cyber Security ShortNews

Beitrag teilen

Der Android Banking-Trojaner Godfather hat sich zu einer großen Gefahr entwickelt. Nun sah sich nach dem BSI auch die BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht – genötigt eine Warnung herauszugeben. Die App greift inzwischen Opfern bei der Nutzung von über 400 internationalen Zielen, darunter Bankanwendungen, Kryptowährungs-Wallets und Krypto-Börsen an. Einige Schutz-Apps erkennen inzwischen die Gefahr und wehren Godfather ab, so das Testlabor AV-TEST.

Der Banking-Trojaner Godfather treibt unter Android sein Unwesen und ist nur sehr schwer zu erkennen. Zu den Zielen von Godfather gehören Finanzdienstleister in Kanada, Frankreich, Deutschland, Großbritannien, Italien und Polen – sie sind am stärksten betroffen. Dazu kommen 49 Finanzinstitute in den USA , 31 in der Türkei und 30 in Spanien ansässige Unternehmen. Nun warnt das BSI und die BaFin.

Anzeige

Godfather zeigt perfekt gefälschte Webseiten

Sobald ein Nutzer eines infizierten Gerätes die Webseite seines Finanzdienstleister aufruft, überlagert Godfather echte Webseiten mit Webseiten-Fälschungen. Gibt ein Nutzer die Logindaten ein, werden diese abgegriffen und weitergeleitet. Danach verschickt die Schadsoftware Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyber-Kriminellen möglicherweise dann auf die Konten und Wallets von Nutzern zugreifen.

Verseuchte App imitiert Google Play Protect

Der Android-Trojaner versteckt sich immer noch in vielen Apps aus diversen App-Stores und wohl immer wieder auch im Google App Store. Sobald die App gestartet wird, zeigt sie eine Animation, wie Google Play Protect das System nach verseuchten Apps scannt. Aber die Anzeige ist nur eine animierte Fälschung.

Der Trojaner prüft sogar die am Gerät verwendete Sprache. Sobald er diese Sprachen antrifft, wird er nicht aktiv:

  • RU (Russland)
  • AZ (Aserbaidschan)
  • AM (Armenia)
  • BY (Weißrussland)
  • KZ (Kasachstan)
  • KG (Kirgistan)
  • MD (Moldawien)
  • UZ (Usbekistan)
  • TJ (Tadschikistan)

Die Experten der Group IB, die den Trojaner untersucht haben, vermuten daher, dass die Entwickler in einem der aufgeführten Staaten sitzen.

Gibt es Schutz vor Trojaner Godfather?

Ein wichtiges Detail zum Trojaner Godfather ist, dass er nicht funktioniert, wenn ihm unter Android kein Zugriff auf den AccessibilityService gewährt wird. Die Accessibility Services ermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Eine App mit diesen Rechten läuft dann als Bedienungshilfe im Hintergrund und reagiert auf ein Ereignis in einer anderen App, indem sie etwa Bildschirminhalte überblendet oder automatisch Textfelder ausfüllt. Das ist der Trick des Trojaners.

AV-TEST: Nur einige Apps erkennen GodFather

Auf Nachfrage bei AV-TEST am 08.01.2023, ob denn Schutz-Apps für Android die Malware GodFather erkennen, war das Ergebnis noch durchwachsen. Die Schutz-Apps für Android-Geräte von Avira, DrWeb, Fortinet, ikarus, Kaspersky, Ahnlab, Sophos, Symantec und TrendMicro erkennen die Gefahr.

Red./sel

 

Passende Artikel zum Thema

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen