Eine neue Banking-Malware namens Godfather hat 16 Länder im Visier. Deutschland fällt darunter. Sie zeichnet Eingaben in über 415 Banking- und Krypto-Apps auf.
Trojaner finden sich immer wieder auf Android-Smartphones. Godfather hat sich auf Banking und Krypto-Handel spezialisiert. (Illustration: Fit Ztudio/ Shutterstock.com)
Sicherheitsexperten haben eine neue Banking-Malware für Android entdeckt: Godfather. Sie nimmt die Nutzer:innen aus 16 Ländern ins Visier und scheint aus russischer Hand zu stammen. Ausgefeilte Angriffswege machen getarnte Apps mit dem neuen Trojaner so gefährlich.
400 Anmeldeseiten im Visier
Godfather nistet sich für einen einzigen Grund auf Android-Smartphones ein: um Zugangsdaten zu stehlen. Dazu hat es die Malware auf rund 400 Banking- und Krypto-Apps abgesehen. Das Sicherheitsunternehmen Group-IB zählt die Betreiber auf: 215 internationale Banken, 94 Krypto-Wallets und 110 Krypto-Austausch-Plattformen. Sie stammen aus den USA, der Türkei, Spanien, Kanada, Deutschland, Frankreich und Großbritannien.
Russen sind außen vor
Spezialist:innen haben im Sourcecode eine Funktion ausgemacht, die verhindert, dass der Trojaner bei bestimmten Spracheinstellungen aktiv wird. Das betrifft neben Russisch auch andere Sprachen, die in der ehemaligen Sowjetunion gesprochen wurden: Aserbaidschanisch, Armenisch, Weißrussisch, Kasachisch, Kirgisisch, Moldawisch, Usbekisch und Tadschikisch. Group-IB vermutet daher, dass die Entwickler von Godfather aus dieser Region kommen.
Godfather ist der Sohn von Anubis
Aufgrund der gleichen Code-Basis halten die IT-Security-Fachleute Godfather für eine Weiterentwicklung des Banking-Trojaners Anubis. Die neue Version weist verbesserte Funktionen, einen neuen Verschlüsselungsalgorithmus und neue Fähigkeiten für den Google Authenticator auf.
App-Quelle von Godfather-Trojaner unbekannt
Wie genau die Geräte mit Godfather infiziert wurden, konnten die Expert:innen nicht zweifelsfrei feststellen. The Register schreibt, dass sie in der Netzwerkinfrastruktur des Trojaners jedoch eine Domain entdeckten, deren Befehls- und Kontrolladresse zu einer Android-App gehörte. Vermutlich liegt der Ursprung also in einer bösartigen Anwendung, die aus dem Google-Play-Store stammt.
Der Trojaner imitiert Google Protect und greift so auf den Accessibility Service zu. Er wird eigentlich dazu verwendet, um Apps an Menschen mit Behinderungen anzupassen. Der Trojaner missbraucht das System jedoch, um spezielle Berechtigungen zu erlangen.
Fake-Logins und abgefangene Zwei-Faktor-Authentifizierungen
Die Malware verwendet gefälschte Websites, die über die regulären Banking- und Krypto-Apps angezeigt werden. Wer sich darüber einloggt, übermittelt seine Login-Daten direkt an die Kriminellen. Zusätzlich versendet Godfather Push-Benachrichtigungen, um Zwei-Faktor-Authentifizierungscodes abzufangen. Wenn sie alle Daten zusammen haben, können die Kriminellen die Konten oder Wallets leer räumen. Das Godfather-System lässt sich auch als Service im Darknet anmieten.
Quelle; heise
Trojaner finden sich immer wieder auf Android-Smartphones. Godfather hat sich auf Banking und Krypto-Handel spezialisiert. (Illustration: Fit Ztudio/ Shutterstock.com)
Sicherheitsexperten haben eine neue Banking-Malware für Android entdeckt: Godfather. Sie nimmt die Nutzer:innen aus 16 Ländern ins Visier und scheint aus russischer Hand zu stammen. Ausgefeilte Angriffswege machen getarnte Apps mit dem neuen Trojaner so gefährlich.
400 Anmeldeseiten im Visier
Godfather nistet sich für einen einzigen Grund auf Android-Smartphones ein: um Zugangsdaten zu stehlen. Dazu hat es die Malware auf rund 400 Banking- und Krypto-Apps abgesehen. Das Sicherheitsunternehmen Group-IB zählt die Betreiber auf: 215 internationale Banken, 94 Krypto-Wallets und 110 Krypto-Austausch-Plattformen. Sie stammen aus den USA, der Türkei, Spanien, Kanada, Deutschland, Frankreich und Großbritannien.
Russen sind außen vor
Spezialist:innen haben im Sourcecode eine Funktion ausgemacht, die verhindert, dass der Trojaner bei bestimmten Spracheinstellungen aktiv wird. Das betrifft neben Russisch auch andere Sprachen, die in der ehemaligen Sowjetunion gesprochen wurden: Aserbaidschanisch, Armenisch, Weißrussisch, Kasachisch, Kirgisisch, Moldawisch, Usbekisch und Tadschikisch. Group-IB vermutet daher, dass die Entwickler von Godfather aus dieser Region kommen.
Godfather ist der Sohn von Anubis
Aufgrund der gleichen Code-Basis halten die IT-Security-Fachleute Godfather für eine Weiterentwicklung des Banking-Trojaners Anubis. Die neue Version weist verbesserte Funktionen, einen neuen Verschlüsselungsalgorithmus und neue Fähigkeiten für den Google Authenticator auf.
App-Quelle von Godfather-Trojaner unbekannt
Wie genau die Geräte mit Godfather infiziert wurden, konnten die Expert:innen nicht zweifelsfrei feststellen. The Register schreibt, dass sie in der Netzwerkinfrastruktur des Trojaners jedoch eine Domain entdeckten, deren Befehls- und Kontrolladresse zu einer Android-App gehörte. Vermutlich liegt der Ursprung also in einer bösartigen Anwendung, die aus dem Google-Play-Store stammt.
Der Trojaner imitiert Google Protect und greift so auf den Accessibility Service zu. Er wird eigentlich dazu verwendet, um Apps an Menschen mit Behinderungen anzupassen. Der Trojaner missbraucht das System jedoch, um spezielle Berechtigungen zu erlangen.
Fake-Logins und abgefangene Zwei-Faktor-Authentifizierungen
Die Malware verwendet gefälschte Websites, die über die regulären Banking- und Krypto-Apps angezeigt werden. Wer sich darüber einloggt, übermittelt seine Login-Daten direkt an die Kriminellen. Zusätzlich versendet Godfather Push-Benachrichtigungen, um Zwei-Faktor-Authentifizierungscodes abzufangen. Wenn sie alle Daten zusammen haben, können die Kriminellen die Konten oder Wallets leer räumen. Das Godfather-System lässt sich auch als Service im Darknet anmieten.
Quelle; heise
