„Godfather“: Aktueller Trojaner greift Banking- und Krypto-Apps an

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) warnt vor der Schadsoftware „Godfather“, die aktuell Eingaben von Nutzer bei Banking- und Krypto-Apps aufzeichnet. Betroffen sind Android-Geräte.

„Godfather“ greift rund 400 Finanzdienstleister an

Die Schadsoftware soll insgesamt rund 400 Banking- und Krypto-Apps angreifen, darunter auch solche von Betreibern aus Deutschland.

Bislang ist laut BaFin noch unklar, wie genau die Malware die Endgeräte der App-Nutzer infiziert. Bekannt ist hingegen, dass die Opfer sich unwissentlich über gefälschte Webseiten der regulären Banking- und Krypto-Apps in ihre Konten einzuloggen versuchen. Nach der Eingabe der Login-Daten erhalten die Opfer jedoch keinen Zugriff auf ihre Konten, sondern die Cyberkriminellen erlangen bei diesem Login-Versuch Zugriff auf die höchst sensiblen Kontozugangsdaten.

Zwei-Faktor-Authentifizierung durch „Godfather“ ebenfalls gefährdet

Zusätzlich werden Pushbenachrichtigungen an die Opfer geschickt, um die Codes für die Zwei-Faktor-Authentifizierung zu erhalten. Zusammen mit den gephishten Zugangsdaten haben die Täter dann schlimmstenfalls freien Zugang zu den Konten und Online-Wallets ihrer Opfer.

Die Schadsoftware verschickt zudem Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyberkriminellen möglicherweise auf die Konten und Wallets von Verbrauchern zugreifen.

Was können Sie tun?

In einem Video des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfahren Verbraucherinnen und Verbraucher praktische Tipps zum sicheren Umgang mit Apps auf mobilen Geräten.

Auf der Website des BSI sind ebenfalls Informationen zu der Schadsoftware abrufbar.

Alter Wein in neuen Schläuchen

„Godfather“ ist laut den IT-Sicherheitsspezialisten von Group IB jedoch bereits ein alter Bekannter. Bei einer Analyse des Trojaners Ende 2022 ließ sich feststellen, dass „Godfather“ auf einer Schadsoftware namens Anubis basiert. Deren Quellcode sei nun an neuere Android-Versionen angepasst worden und werde auf einschlägigen Telegram Kanälen interessierten Cyberkriminellen als Malware-as-a-service angeboten. Das bedeutet, dass die eigentliche Schadsoftware für Attacken gemietet werden kann und nicht erst selbst entwickelt werden muss. Ein Berichten zufolge durchaus erfolgreiches Geschäftsmodell.

„Godfather“ greift Finanzinstitutionen weltweit an.

Die Malware Godfather habe zwischen Juni 2021 und Oktober 2022 mehr als 400 internationale Finanzunternehmen angegriffen. Davon waren 215 internationale Banken, 94 Kryptowährungs-Wallets und 110 Krypto-Exchange-Plattformen. 49 Unternehmen davon kamen aus den USA, 31 aus der Türkei und 30 aus Spanien. Finanzdienstleister aus Kanada, Frankreich, Deutschland, dem Vereinigten Königreich, Italien und Polen gehören zu den meist Betroffenen.

Dabei sind die Funktionen von „Godfather“ sehr breit aufgestellt. Die Malware kann Screenshots vom Gerät des Opfers anfertigen, VNC-Verbindungen aufbauen, Keylogger starten, Push-Benachrichtigungen zur Umgehung von Zwei-Faktor-Authentifizierung auslösen, Anrufe zum selben Zweck weiterleiten, USSD-Anfragen ausführen, SMS-Nachrichten von infizierten Geräten verschicken, Proxy-Server starten und WebSocket-Verbindungen aufbauen.

Während die Bafin sich noch nicht geäußert hat, wie der Trojaner auf die Endgeräte der App-Nutzer kommt, geht Group IB aufgrund der Infrastruktur der Schadsoftware davon aus, dass der Banking-Trojaner mit gefälschten oder täuschenden Apps über Google Play verteilt wird. Als ein Beispiel nennt Group-IB etwa eine App namens Currency Converter Plus. Andere Versionen täuschen die Geräteuntersuchung mit Google Play Protect vor, sodass Nutzer sich fälschlicherweise durch Google-Sicherheitstools in der falschen Sicherheit wiegen, vor Malware geschützt zu sein.

Hinweise auf Herkunft von „Godfather“

Interessante Hinweise auf die Herkunft der gefährlichen Schadsoftware liegen in den Spracheinstellungen der Malware verborgen. „Godfather“ prüft die Systemsprache und wenn eine der folgenden Sprachen eingestellt ist, stoppt er automatisch seine Aktivitäten:

• RU (Russland)
• AZ (Aserbaidschan)
• AM (Armenien)
• BY (Belarus)
• KZ (Kasachstan)
• KG (Kirgisien)
• MD (Moldawien)
• UZ (Usbekistan)
• TJ (Tadschikistan)

Welche Schutzmaßnahmen?

Als Schutzmaßnahmen schlägt Group-IB vor, das Android-Gerät stets auf dem aktuellen Stand zu halten und regelmäßig nach Aktualisierungen suchen zu lassen, da neuere Android-Versionen weniger anfällig für Banking-Trojaner seien.

Apps sollten ausschließlich von Google Play geladen werden – auch, wenn das keinen hundertprozentigen Schutz liefert wie in diesem Fall. Die angeforderten Rechte sollten gründlich überprüft werden. Im Fall des „Godfather“-Trojaners kann die Kommunikation zum Server nur stattfinden, nachdem der Zugriff auf AccessibilityService gewährt wurde. Auch Links aus SMS sollten Empfänger nicht folgen.

Anfrage an Bafin zu Widersprüchen im Informationsstand

Vergleicht man die Informationen in der Bafin-Warnung, bzw. die offenen Fragen mit den Aussagen von Group IIB aus Dezember 2022, so stellt sich sofort die Frage, warum Group IB den Infektionsweg gut zu kennen scheint, während dieser für die Bafin offenbar noch unbekannt ist.

Genau diese Frage wirft auch Heise online auf und hat eine Anfrage an die Bafin gestellt:
Warum wird jetzt vor der Malware gewarnt? Warum liegen die Informationen zum, Infektionsweg nicht vor, wenn entsprechende Analysen bereits im Dezember veröffentlicht wurden. Eine Antwort steht zum derzeit noch aus.

Bleibt letztlich noch die Frage offen, warum offenbar immer wieder Apps im vermeintlich gut gesicherten Google Play Store verfügbar sind, die Schadware auf die Endgeräte spülen. Sich auf die Sicherheit des Play Stores zu verlassen, reicht nicht aus. Zusätzlichen Schutz bieten gute und aktuelle Virenschutzprogramme.

Quelle:

BaFin, Group IB, Heise Online

Schon gelesen? Ein aktueller Mimikama-Faktencheck: Video vom Jahreswechsel mit Schusswaffen