Android-Malware
"Godfather": Neue Virtualisierungs-Technik bedroht Banking-Apps
Die berüchtigte Android-Malware "Godfather" ist mit einer gefährlichen Weiterentwicklung zurück: Statt gefälschter Overlays nutzt sie jetzt Virtualisierung, um Banking-Apps zu kapern und unbemerkt Geld zu stehlen.
Sicherheitsforscher von Zimperium haben eine Evolution der Godfather-Malware dokumentiert, die einen potenziell großflächigen Wandel in der Angriffstaktik mobiler Banking-Trojaner darstellt. Während frühere Versionen der Malware sogenannte Overlay-Angriffe verwendeten – also gefälschte Benutz...
Sicherheitsforscher von Zimperium haben eine Evolution der Godfather-Malware dokumentiert, die einen potenziell großflächigen Wandel in der Angriffstaktik mobiler Banking-Trojaner darstellt. Während frühere Versionen der Malware sogenannte Overlay-Angriffe verwendeten – also gefälschte Benutzeroberflächen, die über legitime Banking-Apps gelegt wurden – setzt die neue Variante auf eine Virtualisierungs-Methode.
Die aktuelle Version erstellt vollständig isolierte virtuelle Umgebungen auf infizierten Android-Geräten. Diese Virtualisierungstechnik ermöglicht es der Malware, echte Banking-Apps innerhalb einer kontrollierten Sandbox-Umgebung auszuführen, wodurch die Täuschung nahezu perfekt wird. Nutzer interagieren mit der authentischen, unveränderten Anwendung, während die Malware im Hintergrund jede Eingabe und Aktion in Echtzeit überwacht.
Der Infektionsprozess beginnt mit der Installation einer bösartigen Host-Anwendung, die ein eingebettetes Virtualisierungs-Framework enthält. Diese analysiert zunächst die auf dem Gerät installierten Apps und sucht nach Banking-Anwendungen aus ihrer Zielliste von über 400 verschiedenen Finanz-Apps. Wird eine entsprechende App gefunden, lädt die Malware eine Kopie herunter und führt sie in der virtuellen Umgebung aus.
Neben dem Diebstahl von Anmeldedaten verfügt Godfather über zusätzliche bedrohliche Fähigkeiten. Die Malware kann PIN-Codes und Entsperrmuster stehlen, indem sie gefälschte Sperrbildschirme anzeigt, die den echten täuschend ähnlich sehen. Dies verschafft Angreifern nicht nur Zugang zu Banking-Apps, sondern zum gesamten Gerät.
Besonders alarmierend ist die Fähigkeit zur Fernsteuerung infizierter Geräte. Die Malware kann während der Nachtstunden aktiv werden und Überweisungen durchführen, während die Opfer schlafen. Dabei simuliert sie Gesten und Berührungen auf dem Bildschirm, um Transaktionen zu autorisieren. Zusätzlich kann sie SMS-Nachrichten abfangen und weiterleiten, was die Umgehung von Zwei-Faktor-Authentifizierung ermöglicht.
Zimperium-Forscher beobachteten die neue Godfather-Variante zunächst hauptsächlich bei türkischen Android-Nutzern. Etwa ein Dutzend türkische Finanzinstitutionen stehen derzeit im Fokus der Angriffe. Experten warnen jedoch, dass sich die Kampagne jederzeit auf westliche Länder ausweiten könnte.
