Zum Inhalt springen

Android-Schadsoftware Bafin warnt vor Banking-Trojaner Godfather

Eine mächtige Schadsoftware imitiert unter anderem das Onlinebanking deutscher Finanzinstitutionen. Die Bafin warnt vor dem Android-Trojaner, doch der ist schwer zu erkennen.
Finanz-und Bezahldienste (Symbolbild): Godfather zielt auf mehr als 400 solcher Dienste ab

Finanz-und Bezahldienste (Symbolbild): Godfather zielt auf mehr als 400 solcher Dienste ab

Foto: Monika Skolimowska / dpa

Kurz vor Weihnachten wurde es unchristlich: Godfather habe seit Mitte 2019 bereits 419 Onlinebanking-Apps, Kryptowährungs-Wallets sowie -Handelsplätze in aller Welt ins Visier genommen, berichtete das IT-Sicherheitsunternehmen Group-IB  mit Sitz in Singapur. Das Ziel der mächtig klingenden, vermutlich über verseuchte Android-Apps verbreiteten Schadsoftware sei es, Zugangsdaten abzufangen – inklusive Zwei-Faktor-Benachrichtigungen. Damit könnten Kriminelle die Onlinekonten ihrer Opfer kapern.

Nun warnt  auch die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) vor der Schadsoftware, da auch deutsche Bankkundinnen und -kunden gefährdet sein könnten. »Bekannt ist, dass Godfather gefälschte Websites von regulären Banking- und Krypto-Apps anzeigt«, heißt es in der Warnung. »Loggen sich Verbraucher über diese Websites ein, werden ihre Login-Daten an die Cyber-Kriminellen übermittelt.«

Wie Godfather verbreitet wird, geht aus der Warnung nicht hervor. Die Bafin verweist nur auf ein Video des Bundesamts für Sicherheit in der Informationstechnik (BSI), in dem es um allgemeine Tipps zur Erhöhung der Sicherheit im Umgang mit Apps geht. Einer davon lautet, Apps nur aus den offiziellen Stores zu installieren. Das allein aber reicht im Fall von Godfather nicht aus. Die Schadsoftware steckt mitunter  auch in täuschend echt aussehenden Versionen von bekannten Apps, die in Googles Play Store angeboten werden – etwa in einer türkischen Musik-App oder einem Währungsrechner.

Nutzer in postsowjetischen Staaten wollen die Godfather-Entwickler verschonen

Beim ersten Aufruf startet Godfather vorgeblich einen Scan nach Schadsoftware. Dabei imitieren die Entwickler Google Play Protect , eine Google-eigene Schutzfunktion, die unter anderem Apps auf einem Smartphone, die nicht aus dem Play Store kommen, auf Schadsoftware überprüft. Tatsächlich scannt Godfather aber nichts. Zusammen mit dem gleichzeitig verlangten Zugriff auf die Bedienungshilfen in Android verschafft sich der Trojaner lediglich die nötigen Berechtigungen, um sich im Hintergrund zu verstecken und heimlich aktiv werden zu können. Er ist auch in der Lage, Tastatureingaben mitzuschneiden, den Bildschirm aufzunehmen sowie auf SMS und Push-Benachrichtigungen etwa für die Zwei-Faktor-Authentifizierung (2FA) zuzugreifen und diese an den Kontrollserver der Kriminellen weiterzuleiten.

Bemerkenswert: Godfather überprüft die eingestellte Systemsprache. Offenbar sollen unter anderem russische, belarussische, kasachische, aserbaidschanische, armenische und usbekische Nutzerinnen und Nutzer verschont bleiben. Der Trojaner wird bei der entsprechenden Spracheinstellung nicht weiter aktiv. Daher sei anzunehmen, schreibt Group-IB, dass die Entwickler selbst Russisch sprächen oder aus der Region kämen.

Täuschungsmanöver beim Aufruf der Banking-App

Der Trojaner prüft, welche Banking- und Krypto-Apps auf dem Gerät installiert sind, und blendet bei deren Aufruf Websites ein, die genauso aussehen. Wie oft das Täuschungsmanöver schon funktioniert hat, wie leicht oder schwer es ist, den Vorgang zu erkennen und wie genau der 2FA-Vorgang ausgelöst wird, geht aus der veröffentlichten Analyse von Group-IB nicht hervor. Klar ist nur: Wer seine Zugangsdaten eingibt, im Glauben, seine gewohnte Banking-App zu verwenden, schickt sie an die Kriminellen.

Android-Nutzerinnen und -Nutzer sollten als Vorsichtsmaßnahme sicherstellen, dass Google Play Protect aktiviert ist und vor allem Finanz-Apps nur aus dem Play Store laden. Die Schutzfunktion von Google prüft Apps im Store dann vorab auf Schadsoftware. Es empfiehlt sich zudem, vor der Installation die Anbieterinformationen der App im Play Store aufzurufen. Ein Betrugsversuch fällt an dieser Stelle möglicherweise auf.

Group-IB ist ursprünglich ein russisches Unternehmen. Mitte 2022 gliederte es seine internationalen Geschäfte aus , sie werden seither aus Singapur geführt. Mitgründer Ilja Satschkow schaffte es 2016 in die »Forbes«-Liste der 30 Toptalente im weltweiten IT-Business, 2021 jedoch wurde er von den russischen Behörden wegen des Verdachts auf Hochverrat festgenommen .

pbe
Die Wiedergabe wurde unterbrochen.