BaFin warnt vor "Godfather"-Banking-Trojaner
Die BaFin warnt vor einem Banking-Trojaner, der Android-Geräte angreift. Die "Godfather" genannte Malware kann 400 internationale Finanzinstitutionen ausspähen.
(Bild: wk1003mike/Shutterstock.com)
Die Bundesanstalt für Finanzdienstleistungsaufsicht warnt vor dem Banking-Trojaner "Godfather". Die Android-Malware kann Banking- und Krypto-Apps von rund 400 internationalen Institutionen angreifen. Darunter befinden sich auch Einrichtungen aus Deutschland.
Die BaFin schreibt, dass unklar sei, wie die Malware auf die Endgeräte von Verbraucherinnen und Verbrauchern gelange. Sie zeige dann jedoch gefälschte Webseiten von Banking- und Krypto-Apps an und greift die Log-in-Daten ab, sofern sich potenzielle Opfer daran anmelden. Um Zwei-Faktor-Authentifizierung zu umgehen, schickt die Malware den Opfern auch Push-Benachrichtigungen. Mit diesen Daten können Cyberkriminelle dann auf Konten und Krypto-Wallets der Opfer zugreifen.
Alter Bekannter
Die IT-Sicherheitsforscher von Group-IB haben die Malware kurz vor Weihnachten genauer analysiert. Der Banking-Trojaner basiere demzufolge auf einer Schadsoftware, der unter dem Namen "Anubis" aktiv war. Dessen Sourcecode hätten die Cyberkriminellen an neuere Android-Versionen angepasst. Godfather werde als Malware-as-a-Service etwa auf Telegram-Kanälen angeboten.
Die Malware Godfather habe zwischen Juni 2021 und Oktober 2022 mehr als 400 internationale Finanzunternehmen angegriffen. Davon waren 215 internationale Banken, 94 Kryptowährungs-Wallets und 110 Krypto-Exchange-Plattformen. 49 Unternehmen davon kamen aus den USA, 31 aus der Türkei und 30 aus Spanien. Finanzdienstleister aus Kanada, Frankreich, Deutschland, dem Vereinigten Königreich, Italien und Polen gehören zu den meist Betroffenen.
Die Funktionen von Godfather sind umfangreich. Der Schädling kann Bildschirmaufnahmen vom Gerät des Opfers anfertigen, VNC-Verbindungen aufbauen, Keylogger starten, Push-Benachrichtigungen zur Umgehung von Zwei-Faktor-Authentifizierung auslösen, Anrufe zum selben Zweck weiterleiten, USSD-Anfragen ausführen, SMS-Nachrichten von infizierten Geräten verschicken, Proxy-Server starten und WebSocket-Verbindungen aufbauen.
Group-IB leitet aus der Godfather-Netzwerkinfrastruktur ab, dass der Banking-Trojaner mit gefälschten oder täuschenden Apps über Google Play verteilt wird. Als ein Beispiel nennt Group-IB etwa eine App namens Currency Converter Plus. Andere Versionen imitieren Geräteuntersuchung mit Google Play Protect. Das soll Nutzende in der falschen Sicherheit wiegen, dass ihr Gerät sicher sei.
Als Schutzmaßnahmen schlägt Group-IB vor, das Android-Gerät stets auf dem aktuellen Stand zu halten und regelmäßig nach Aktualisierungen dafür suchen zu lassen. Neuere Android-Versionen seien weniger anfällig für Banking-Trojaner. Apps sollten ausschließlich von Google Play geladen werden – auch, wenn das keinen hundertprozentigen Schutz liefert wie in diesem Fall. Die angeforderten Rechte sollten gründlich überprüft werden. Im Fall des Godfather-Trojaners kann die Kommunikation zum Server nur stattfinden, nachdem der Zugriff auf AccessibilityService gewährt wurde. Auch Links aus SMS sollten Empfänger nicht folgen.
Die Entwickler von Android-Malware finden immer wieder Wege, die Schadsoftware unauffällig auf Mobilgeräte zu verfrachten. So gelang dies Anfang Dezember vergangenen Jahres etwa mittels Signierung mit OEM-Zertifikaten von Samsung und anderen Anbietern, wodurch die Malware ihre Rechte im System ausweiten konnte.
Am heutigen Morgen hat heise online eine Anfrage an die BaFin gestellt, wieso sie zum jetzigen Zeitpunkt vor der Malware warnt und weshalb Informationen wie der Infektionsweg dort nicht vorliegen, die in den Analysen aus dem Dezember jedoch erläutert werden. Eine Antwort darauf steht noch aus.
(dmk)
