Malware: Bafin warnt vor Godfather
Die Finanzaufsichtsbehörde Bafin warnt Verbraucher(öffnet im neuen Fenster) vor der Schadsoftware Godfather. Diese würde aktuell Eingaben von Nutzerinnen und Nutzern bei rund 400 Banking- und Krypto-Apps aufzeichnen, heißt es auf der Webseite der Finanzaufsichtsbehörde. Auch die Apps von hiesigen Finanzinstituten sollen betroffen sein.
"Wie genau die Software auf die infizierten Endgeräte von Verbraucherinnen und Verbrauchern kommt, ist unklar," schreibt die Bafin. "Bekannt ist, dass Godfather gefälschte Websites von regulären Banking- und Krypto-Apps anzeigt."
Auch wenn der Hauptverbreitungsweg laut einem Bericht des Onlinemagazins Bleepingcomputer(öffnet im neuen Fenster) bisher unbekannt ist, gab es in der Vergangenheit mehrere mit der Schadsoftware präparierte Apps in Googles Play Store. Darunter beispielsweise eine Imitation einer beliebten Musik-App aus der Türkei.
Statt Analysen der Schadsoftware durch die Sicherheitsfirmen Group-IB(öffnet im neuen Fenster) und Cyble(öffnet im neuen Fenster) zu verlinken, verweist die Bafin nur auf allgemeine Sicherheitstipps des Bundesamtes für Sicherheit in der Inforamtionstechnik. Auch nennt die Bafin im Unterschied zu den Analysen keine weiteren Details.
Wurde der Banking-Trojaner auf einem Android-Smartphone installiert, prüft er die Systemsprache – ist diese auf russisch oder auf eine von mehreren anderen osteuropäischen Sprachen eingestellt, wird der Trojaner nicht aktiv.
Androids Barrierefreiheit zum Abgreifen von Zugangsdaten genutzt
In den anderen Fällen gibt er sich als "Google Protect" aus, einem Sicherheits-Tool, das auf den meisten Android-Smartphones vorhanden ist. Dabei simuliert Godfather einen entsprechenden Scan des Gerätes. Diesen nutzt der Banking-Trojaner, um die Nutzer nach der Berechtigung für die Accessibility Services (Barrierefreiheit) zu fragen .
Mit diesen lassen sich anschließend beispielsweise HTML-Overlays über Apps legen, die dem Login-Bildschirm ähneln und so Zugangsdaten abgreifen. Alternativ können die Apps auch als Keylogger agieren. Beides wird von Godfather, aber auch von vielen anderen Trojanern wie Flubot genutzt. Neben den Zugangsdaten hat es der Banking-Trojaner zudem auf Push-Benachrichtigungen und 2FA-SMS abgesehen.
Entsprechend fordern Sicherheitsforscher seit geraumer Zeit explizite Warnungen vor der Erteilung der entsprechenden Berechtigung. Zudem können sich Apps vor Angriffen mittels der Barrierefreiheitsfunktion schützen, was allerdings kaum genutzt wird.