Android: Handy-Trojaner "Godfather" macht Jagd auf Online-Banking-Apps – und hat es auf Ihre Konten abgesehen

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) warnt vor einem neuen Trojaner – dieser soll es vor allem auf Login-Daten für Bankkonten und Krypto-Apps abgesehen haben.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) warnt vor der Schadsoftware "Godfather". Diese soll Eingaben bei bekannten Banking- und Krypto-Apps aufzeichnen und diese anschließend Kriminellen übermitteln. Die Software sei außerdem in der Lage, täuschend echte Benachrichtigungen zu verschicken, die üblicherweise der Freigabe von Überweisungen und Logins dienen. Damit, so die Warnung, hätten Angreifer Zugriff auf Konten oder Wallets betroffener Personen.

400 Banken- und Krypto-Apps betroffen

Die Bafin spricht davon, dass "Godfather" sich derzeit auf rund 400 bekanntere Banken- und Krypto-Apps fokussiere, unter denen auch beliebte Programme aus Deutschland sind. Es sei derzeit nicht klar, wie "Godfather" sich ausbreitet und welche Quellen es genau zu meiden gilt. 

Einmal installiert, soll die Schadsoftware gefälschte Webseiten von Banken und Krypto-Handelsplätzen anzeigen. Sobald man sich dort einloggt, soll der Trojaner die Eingaben an Dritte weiterleiten. 

Die Bafin gibt im Anschluss an ihre Warnung lediglich allgemeine Tipps, wie man sich auf mobilen Geräten generell vor Angriffen schützt, geht aber nicht näher auf "Godfather" und etwaige Bezugsquellen ein.

Das IT-Fachmagazin "Bleeping Computer" macht deutlich, dass offenbar ausschließlich Nutzer:innen von Android-Smartphones betroffen seien. Als Beispiel nennt der Bericht eine manipulierte Musik-App namens "MYT Müzik", deren eigentliche Version mehr als zehn Millionen Mal aus dem Google Play Store heruntergeladen wurde und damit vermutlich oft gesucht wird.

Android-Dienste zur Barrierefreiheit dienen als Einfallstor

Entdeckt wurde "Godfather" von der "Group IB", die bereits Ende Dezember einen größeren Bericht zu dem Trojaner veröffentlichte. Demnach sei "Godfather" in 16 Ländern aktiv, stelle allerdings sämtliche Funktionen ein, sobald erkannt wird, dass das Opfer der russischen Sprache mächtig ist und eine entsprechende Systemsprache eingestellt hat. Das ist ein bekanntes Muster, nachdem auch Ransomware-Erpresser handeln. 

Was die Funktionsweise betrifft, fanden die Experten Beweise dafür, dass sich der Trojaner einen Google Dienst namens Protect zunutze macht. Eigentlich führt Google Play Protect einen Sicherheitscheck durch, bevor Apps aus dem Google Play Store heruntergeladen werden. "Godfather" simuliert dessen Funktion und imitiert einen solchen Check. Dabei bittet die Software um Zugriff auf die Bedienungshilfen (Accessibility Services) von Android.

Erfolgt die Freigabe, erhält der Trojaner vom System die Erlaubnis, Apps im Sinne der Barrierefreiheit zu verändern – nutzt das allerdings, um durch gefälschte Webseiten Daten abzugreifen und Nutzer:innen zu täuschen. Die Experten von "Security Research Labs" warnten bereits Ende 2021 davor, dass Schadsoftware auf Android-Geräten diesen Weg bevorzugt ausnutzt.