Neuer Android-Trojaner zielt auf Banking-Apps und Krypto-Plattformen ab
Trojaner finden sich immer wieder auf Android-Smartphones. Godfather hat sich auf Banking und Krypto-Handel spezialisiert. (Illustration: Fit Ztudio/ Shutterstock.com)
Sicherheitsexperten haben eine neue Banking-Malware für Android entdeckt: Godfather. Sie nimmt die Nutzer:innen aus 16 Ländern ins Visier und scheint aus russischer Hand zu stammen. Ausgefeilte Angriffswege machen getarnte Apps mit dem neuen Trojaner so gefährlich.
400 Anmeldeseiten im Visier
Godfather nistet sich für einen einzigen Grund auf Android-Smartphones ein: um Zugangsdaten zu stehlen. Dazu hat es die Malware auf rund 400 Banking- und Krypto-Apps abgesehen. Das Sicherheitsunternehmen Group-IB zählt die Betreiber auf: 215 internationale Banken, 94 Krypto-Wallets und 110 Krypto-Austausch-Plattformen. Sie stammen aus den USA, der Türkei, Spanien, Kanada, Deutschland, Frankreich und Großbritannien.
Russen sind außen vor
Spezialist:innen haben im Sourcecode eine Funktion ausgemacht, die verhindert, dass der Trojaner bei bestimmten Spracheinstellungen aktiv wird. Das betrifft neben Russisch auch andere Sprachen, die in der ehemaligen Sowjetunion gesprochen wurden: Aserbaidschanisch, Armenisch, Weißrussisch, Kasachisch, Kirgisisch, Moldawisch, Usbekisch und Tadschikisch. Group-IB vermutet daher, dass die Entwickler von Godfather aus dieser Region kommen.
Godfather ist der Sohn von Anubis
Aufgrund der gleichen Code-Basis halten die IT-Security-Fachleute Godfather für eine Weiterentwicklung des Banking-Trojaners Anubis. Die neue Version weist verbesserte Funktionen, einen neuen Verschlüsselungsalgorithmus und neue Fähigkeiten für den Google Authenticator auf.
App-Quelle von Godfather-Trojaner unbekannt
Wie genau die Geräte mit Godfather infiziert wurden, konnten die Expert:innen nicht zweifelsfrei feststellen. The Register schreibt, dass sie in der Netzwerkinfrastruktur des Trojaners jedoch eine Domain entdeckten, deren Befehls- und Kontrolladresse zu einer Android-App gehörte. Vermutlich liegt der Ursprung also in einer bösartigen Anwendung, die aus dem Google-Play-Store stammt.
Der Trojaner imitiert Google Protect und greift so auf den Accessibility Service zu. Er wird eigentlich dazu verwendet, um Apps an Menschen mit Behinderungen anzupassen. Der Trojaner missbraucht das System jedoch, um spezielle Berechtigungen zu erlangen.
Fake-Logins und abgefangene Zwei-Faktor-Authentifizierungen
Die Malware verwendet gefälschte Websites, die über die regulären Banking- und Krypto-Apps angezeigt werden. Wer sich darüber einloggt, übermittelt seine Login-Daten direkt an die Kriminellen. Zusätzlich versendet Godfather Push-Benachrichtigungen, um Zwei-Faktor-Authentifizierungscodes abzufangen. Wenn sie alle Daten zusammen haben, können die Kriminellen die Konten oder Wallets leer räumen. Das Godfather-System lässt sich auch als Service im Darknet anmieten.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team