Der Banking-Trojaner „Godfather“: Risikopotenziale und Sicherheitsaspekte
Wie der Android-Trojaner „Godfather“ auf Ihr Smartphone gelangen kann und warum Sie sich vor ihm schützen sollten, lesen Sie im Beitrag.
Banking-Trojaner auf dem Smartphone können unbemerkt von Ihnen eingegebene Bank- und Zugangsdaten abgreifen. Ein auf Android-Smartphones spezialisierter Trojaner macht aktuell Schlagzeilen und hört auf den Namen „Godfather“. Das funktionsreiche Schadprogramm greift Banking- und Krypto-Apps von mehr als 400 internationalen Finanzinstitutionen, Anbietern von Krypto-Wallets sowie Krypto-Börsen an. Wie „Godfather“ funktioniert, welche Gefahr von ihm ausgeht und wie Userinnen und User von Android-Geräten sich am besten schützen, erfahren Sie hier.
Funktionen und Infektionswege des Banking-Trojaners „Godfather“
Der „Godfather“-Trojaner kann sensible Login-Daten abgreifen, indem potenzielle Opfer auf eine gefälschte Website bekannter Banking- und Krypto-Apps weitergeleitet werden und sich dort anmelden. Mit den abgefangenen Daten können Cyberkriminelle schließlich auf die Konten und Krypto-Wallets der Opfer zugreifen.
Der Trojaner verfügt noch über weitere Funktionen, um persönliche Daten auf einem Android-Gerät zu stehlen: So kann die Malware etwa die Bildschirmanzeige des Smartphones mitschneiden, eine VNC-Verbindung (Remote-Control-Software) aufbauen, einen Proxy-Server zwischenschalten oder einen Keylogger einrichten, der die Tastatur-Eingabe aufzeichnet. Um die Zwei-Faktor-Authentifizierung auszuhebeln, kann die Malware auch gefälschte Push-Benachrichtigungen an die Opfer senden. Betroffene, die sich nun auf einer gefälschten Website anmelden möchten, erhalten wie gewohnt etwa einen Einmalcode per Push-Benachrichtigung oder eine SMS. Da der Authentifizierungsprozess scheinbar wie immer abläuft, schöpfen die Opfer keinen Verdacht und geben ihre Anmeldedaten bekannt.
Angeboten wird „Godfather“ kommerziell als Malware-as-a-Service etwa auf Telegram-Kanälen. Die Infektion mit dem Trojaner erfolgt über gefälschte Apps auf der offiziellen Plattform „Google Play“. Betroffen waren in letzter Zeit beispielsweise die Apps „Currency Converter Plus“ und „Google Play Protect“, die als gefälschte Versionen auf der Plattform in Umlauf gebracht wurden. Bei bestimmten Spracheinstellungen (Aserbaidschanisch, Armenisch, Weißrussisch, Kasachisch, Kirgisisch, Moldawisch, Usbekisch, Russisch und Tadschikisch) bleibt der Banking-Trojaner auch nach erfolgter Infektion des Zielgeräts inaktiv. Es liegt daher die Vermutung nahe, dass die Angreiferinnen und Angreifer aus dem postsowjetischen Raum stammen.
Sich vor Banking-Trojanern schützen: Sicherheitstipps
Um das Smartphone gegen Schadprogramme abzusichern, sollten Userinnen und User ihre Android-Geräte immer auf dem aktuellen Stand halten und Sicherheitsupdates zeitnah durchführen. Außerdem sollten Apps ausschließlich über Google Play heruntergeladen werden, auch wenn die Plattform keinen lückenlosen Schutz vor gefährlichen Programmen wie „Godfather“ bietet. Neuere Android-Versionen gelten allgemein als weniger anfällig für eine Infektion als ältere Betriebssysteme.
Tipp
Lesen Sie für weiterführende Informationen auch: „Unseriöse Apps als Bedrohung für das Smartphone“.
Weiters sollten Userinnen und User von einer App angeforderte Befugnisse sorgfältig überprüfen. Der „Godfather“-Trojaner kann erst mit den Servern der Kriminellen kommunizieren, wenn die Userin oder der User zuvor den Zugriff auf die Funktion „AccessibilityService“ gewährt hat. Accessibility Services ermöglichen es einer Anwendung wie zum Beispiel einem Screenreader, mit anderen Apps zu interagieren, um etwa Menschen mit Sehbehinderungen bei der Nutzung des Smartphones zu unterstützen. Sie stellen eine Sicherheitslücke dar und können auch von Keyloggern genutzt werden, um in anderen Apps eingegebene Zugangsdaten aufzuzeichnen.
Die folgenden Regeln sollten Sie beachten, um sich vor Banking-Trojanern zu schützen:
- Installation unbekannter Anwendungen vermeiden und Apps nur über offizielle Quellen herunterladen
- Smartphones mit den neuesten Sicherheitspatches auf dem neuesten Stand halten
- Von installierten Apps angeforderte Befugnisse gründlich überprüfen
- Vorsichtiger Umgang mit Nachrichtenanhängen in E-Mails oder SMS, wenn die Quelle unbekannt oder unseriös erscheint
Hinweis
Malware verbreitet sich häufig über Downloads von Programmen aus unseriösen Quellen. Worauf Userinnen und User im Allgemeinen achten können, um nicht versehentlich ein Schadprogramm herunterzuladen, erfahren Sie im Beitrag „Sicherer Download: So erkennt man den Software-Wolf im Schafspelz“.
Banking-Trojaner im Allgemeinen: Funktion, Übertragung und Risiken
Üblicherweise infiziert ein Banking-Trojaner ein Smartphone über einen Phishing-Link oder eine bösartige App, die vom Opfer unwissentlich heruntergeladen und installiert wird. Sobald sich das Schadprogramm auf dem Gerät eingenistet hat, kann es eine Reihe von Aktionen durchführen, um sensible Finanzdaten zu stehlen und unautorisierte Transaktionen durchzuführen. Das Gerät kann infiziert werden, ohne dass Betroffene davon Kenntnis erlangen, weshalb Banking-Trojaner als besonders heimtückisch und gefährlich gelten. Zu den Aktionen, die ein eingeschleuster Banking-Trojaner ausführt, zählen etwa:
- Overlay-Bildschirme werden auf der Oberfläche legitimer Banking-Apps eingeblendet, um die Anmeldedaten des Opfers abzugreifen.
- Passwörter, Kreditkartennummern und andere sensible Informationen, die das Opfer auf dem Gerät eingibt, werden mitgeschnitten und an die Kriminellen übermittelt.
- Telefongespräche werden aufgezeichnet, um an sensible Informationen zu gelangen.
- SMS-Nachrichten, Anrufprotokolle und Kontaktlisten werden gesammelt und an die Kriminellen gesendet.
- Der Trojaner stellt einen Fernzugriff auf das Gerät her, damit betrügerische Transaktionen durchgeführt werden können.
Hinweis
Auch Ihr Webbrowser ist ein Einfallstor für Cyberangriffe. Lesen Sie hierzu die Beiträge „Speichern von Passwörtern im Browser: Bequem, aber meist nicht sicher“ und „Password Stealer: Wie gefährlich sind sie und wie schützt man sich?“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria