"Godfather"
Online-Banking: Neuer Android-Trojaner hat Bankdaten im Visier
Eine neue Banking-Malware macht das Betriebssystem Android unsicher: Die "Godfather" getaufte Malware hat es primär auf Bankdaten und Krypto-Geldbörsen abgesehen.
In einem Bericht des IT-Unternehmens Group-IB veröffentlichten die Sicherheitsexperten Details zum neuen Godfather-Trojaner, der derzeit das Android-Betriebssystem ins Visier genommen hat. Mit dem gleichnamigen Film aus dem Jahr 1972 oder gar einem Angebot, das der Nutzer nicht ablehnen kann, hat die Malware allerdings mitnichten etwas zu tun: In diesem Fall hat es Godfather auf Zugangsdaten zu auf dem Smartphone installierten Online-Banking-Apps oder Krypto-Wallets abgesehen.
Wie Group-IB weiterhin ausführt, greift die Malware in etwa 400 verschiedene Apps dieser Sorte an, deren Kunden primär in den USA, Deutschland, Frankreich, Spanien und Großbritannien sitzen. Im Quellcode von Godfather konnten die Experten zudem eine Sonderfunktion ausfindig machen, die die Aktivierung des Trojaners bei bestimmten Sprachen verhindert. So soll die Malware nicht zuschlagen, wenn die Systemsprache auf Russisch oder eine der Amtssprachen der ehemaligen Sowjetunion gestellt wurde. Entsprechend geht Group-IB davon aus, dass der Ursprung von Godfather aus dieser Region stammt.
Bei der Untersuchung des Codes sei zudem aufgefallen, dass Godfather grundsätzlich der Struktur des Anubis-Trojaners ähnelt, weshalb hier von einer direkten Verbindung und Weiterentwicklung ausgegangen wird. Ein neuer Verschlüsselungsalgorithmus sowie ein geschickteres Umgehen des Google Authenticators machen die Godfather-Malware allerdings deutlich gefährlicher.
Eine exakte Darstellung, wie Godfather die jeweiligen Geräte angreift, ist den Sicherheitsexperten bisher noch nicht gelungen. Als gesichert gilt, dass der Ursprung des Trojaners in einer in den Google Play Store eingeschleusten bösartigen Android-App liegt. Über das Imitieren des Google Protect genannten Sicherheitsdienstes gelangt Godfather an die sogenannten Accessibility Services, die eigentlich für das Erleichtern der Bedienung für Menschen mit Behinderung gedacht sind.
Über diese Funktion erlangt die Malware schließlich spezielle Berechtigungen, mit deren Hilfe die Cyberkriminellen über spezielle Fake-Webseiten beispielsweise die Login-Daten zum Online-Banking abfangen können. Auch die eigentlich als sicher geltende Zwei-Faktor-Authentifizierung (2FA) gerät so in Gefahr. Sind diese sensiblen Daten einmal in die Hände der Angreifer gelangt, können diese anschließend sämtliche zur Verfügung stehenden Bank- und Krypto-Konten leerräumen.
Weiter zur Startseite
