BaFin und BSI warnen vor Android Banking-Trojaner Godfather

B2B Cyber Security ShortNews

Beitrag teilen

Der Android Banking-Trojaner Godfather hat sich zu einer großen Gefahr entwickelt. Nun sah sich nach dem BSI auch die BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht – genötigt eine Warnung herauszugeben. Die App greift inzwischen Opfern bei der Nutzung von über 400 internationalen Zielen, darunter Bankanwendungen, Kryptowährungs-Wallets und Krypto-Börsen an. Einige Schutz-Apps erkennen inzwischen die Gefahr und wehren Godfather ab, so das Testlabor AV-TEST.

Der Banking-Trojaner Godfather treibt unter Android sein Unwesen und ist nur sehr schwer zu erkennen. Zu den Zielen von Godfather gehören Finanzdienstleister in Kanada, Frankreich, Deutschland, Großbritannien, Italien und Polen – sie sind am stärksten betroffen. Dazu kommen 49 Finanzinstitute in den USA , 31 in der Türkei und 30 in Spanien ansässige Unternehmen. Nun warnt das BSI und die BaFin.

Godfather zeigt perfekt gefälschte Webseiten

Sobald ein Nutzer eines infizierten Gerätes die Webseite seines Finanzdienstleister aufruft, überlagert Godfather echte Webseiten mit Webseiten-Fälschungen. Gibt ein Nutzer die Logindaten ein, werden diese abgegriffen und weitergeleitet. Danach verschickt die Schadsoftware Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyber-Kriminellen möglicherweise dann auf die Konten und Wallets von Nutzern zugreifen.

Verseuchte App imitiert Google Play Protect

Der Android-Trojaner versteckt sich immer noch in vielen Apps aus diversen App-Stores und wohl immer wieder auch im Google App Store. Sobald die App gestartet wird, zeigt sie eine Animation, wie Google Play Protect das System nach verseuchten Apps scannt. Aber die Anzeige ist nur eine animierte Fälschung.

Der Trojaner prüft sogar die am Gerät verwendete Sprache. Sobald er diese Sprachen antrifft, wird er nicht aktiv:

  • RU (Russland)
  • AZ (Aserbaidschan)
  • AM (Armenia)
  • BY (Weißrussland)
  • KZ (Kasachstan)
  • KG (Kirgistan)
  • MD (Moldawien)
  • UZ (Usbekistan)
  • TJ (Tadschikistan)

Die Experten der Group IB, die den Trojaner untersucht haben, vermuten daher, dass die Entwickler in einem der aufgeführten Staaten sitzen.

Gibt es Schutz vor Trojaner Godfather?

Ein wichtiges Detail zum Trojaner Godfather ist, dass er nicht funktioniert, wenn ihm unter Android kein Zugriff auf den AccessibilityService gewährt wird. Die Accessibility Services ermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Eine App mit diesen Rechten läuft dann als Bedienungshilfe im Hintergrund und reagiert auf ein Ereignis in einer anderen App, indem sie etwa Bildschirminhalte überblendet oder automatisch Textfelder ausfüllt. Das ist der Trick des Trojaners.

AV-TEST: Nur einige Apps erkennen GodFather

Auf Nachfrage bei AV-TEST am 08.01.2023, ob denn Schutz-Apps für Android die Malware GodFather erkennen, war das Ergebnis noch durchwachsen. Die Schutz-Apps für Android-Geräte von Avira, DrWeb, Fortinet, ikarus, Kaspersky, Ahnlab, Sophos, Symantec und TrendMicro erkennen die Gefahr.

Red./sel

 

Passende Artikel zum Thema

Unternehmen geben 10 Mrd. Euro für Cybersicherheit aus

Deutschland wappnet sich gegen Cyberangriffe und investiert dazu mehr denn je in IT- und Cybersicherheit. Im laufenden Jahr werden die ➡ Weiterlesen

Qakbot bleibt gefährlich

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie ➡ Weiterlesen

VexTrio: bösartigster DNS-Bedrohungsakteur identifiziert

Ein Anbieter für DNS-Management und -Sicherheit hat VexTrio, ein komplexes, kriminelles Affiliate-Programm enttarnt und geblockt. Damit erhöhen sie die Cybersicherheit. ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen