Seit einiger Zeit kursiert der Banking-Trojaner „Godfather“ auf Android-Geräten und greift Banking- und Krypto-Apps an. Nun warnt auch die Bafin vor der Schadsoftware.
Bereits im Dezember berichtete das aus Singapur stammende IT-Sicherheitsunternehmen Group-IB über den Android-Trojaner Godfather. Cyberkriminelle würden die Schadsoftware nutzen, um Anmeldedaten von Banken und anderen Finanzdienstleistern abzugreifen.
Dabei seien bis zum Zeitpunkt des Berichts am 21. Dezember bereits Benutzer:innen von mehr als 400 internationalen Zielen betroffen gewesen. Darunter Banken, Kryptobörsen und Wallets.
Inzwischen warnt auch die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) vor dem Trojaner Godfather. Denn dieser habe auch Betreiber von Banking- und Krypto-Apps aus Deutschland ins Visier genommen.
Wie funktioniert der Banking-Trojaner Godfather?
Laut der Bafin sei es unklar, wie die Schadsoftware auf die Geräte der Verbraucher:innen gelangt. Doch ist das mobile Endgerät erst einmal infiziert, zeige der Trojaner „gefälschte Websites von regulären Banking- und Krypto-Apps“ an.
Wenn sich Nutzer:innen dann über diese Seiten einloggen, werden die Login-Daten an die Kriminellen weitergeleitet.
Doch damit nicht genug. Denn die Schadsoftware ist außerdem in der Lage, Push-Benachrichtigungen zu verschicken. So sollen auch die Codes für die Zwei-Faktor-Authentifizierung begriffen werden.
Haben die Cyberkriminellen dann beide Elemente, die für einen erfolgreichen Login benötigt werden, in der Hand, können sie auf die Konten und Wallets der Betroffenen zugreifen.
Banking-Trojaner soll ein alter Bekannter sein
Laut dem IT-Sicherheitsunternehmen Group-IB handelt es sich bei dem Trojaner Godfather um einen bereits bekannten Banking-Trojaner. Dieser habe zuvor den Namen Anubis getragen. Anubis sei aber „aufgrund von Android-Updates und den Bemühungen von Malware-Erkennungs- und -Präventionsanbietern“ veraltet.
Group-IB habe Godfather bereits im Juni 2021 erstmals aufgespürt. Ein Jahr später sei die Verbreitung eingestellt worden. Das IT-Sicherheitsunternehmen geht davon aus, dass die Godfather-Entwickler den Trojaner weiter aktualisieren wollten.
Zu den Zielen von Godfather gehören 49 Unternehmen mit Sitz in den USA, 31 Unternehmen mit Sitz in der Türkei und 30 Unternehmen mit Sitz in Spanien. Finanzdienstleister in Kanada, Frankreich, Deutschland, dem Vereinigten Königreich, Italien und Polen waren ebenfalls am stärksten betroffen.
Während Godfather in den westlichen Ländern offenbar ziemlich aktiv ist, werden Nutzer:innen in „postsowjetischen Ländern“ laut Group-IB verschont. Denn der Trojaner kann auch auf die Systemeinstellungen zugreifen und so die eingestellte Sprache erkennen. „Dies könnte darauf hindeuten, dass die Entwickler von Godfather russischsprachig sind“, heißt es von Group-IB weiter.
Bafin: Schadsoftware agiert im Hintergrund
Der Trojaner mogelt sich laut Group-IB vermutlich durch andere Apps aus dem Google Play Store auf Endgeräte. Ist die App heruntergeladen, imitiert sie die Sicherheitsanwendung Google Play Protect. Diese soll Nutzer:innen eigentlich vor der Installation schadhafter Anwendungen schützen.
Nutzer:innen sollten Apps daher nur aus dem offiziellen Play Store herunterladen und Google Play Protect vorab aktivieren. Auch könne es helfen, vor dem Download die weiterführenden Informationen zur App zu analysieren.
Denn ist eine schadhafte App erst einmal installiert, verschafft sich der Trojaner über Play Protect Zugriff auf die Android-Bedienungshilfen und kann so unbemerkt im Hintergrund agieren. Ist das der Fall, kann der Trojaner unter anderem Bildschirmaufnahmen aufzeichnen oder Anrufe zur Umgehung der Zwei-Faktor-Authentifizierung weiterleiten.
Auch interessant:
