GodFather Android-Banking-Malware stiehlt Bankdaten
Forscher von Cyble Research & Intelligence Labs (CRIL) haben GodFather-Malware entdeckt, eine neue Version des Android-Bankentrojaners.
Diese Malware hat über 400 Kryptowährungs- und Banking-Apps in 16 Ländern infiltriert. Group-IB entdeckte den Trojaner im Juni 2021, und ThreatFabric machte die Informationen im März 2022 öffentlich.
Es kann als Anmeldebildschirm über den Anmeldeforen für Bank- und Kryptowährungs-Websites erscheinen. Wenn ein Benutzer seine Anmeldedaten eingibt, werden die Informationen an die Hacker und nicht an die offizielle Website gesendet.
In 16 Ländern zielt die Android-Malware auf Online-Banking-Seiten und Kryptowährungsbörsen. Sie zeigt gefälschte Anmeldebildschirme über legitime Anwendungen an. GodFather wird von Bedrohungsakteuren zum Stehlen von Kontoanmeldeinformationen verwendet. GodFather kann auch SMS, Geräteinformationen und andere Daten stehlen.
Die Malware hat es auf 215 Banking-Apps abgesehen, von denen sich die meisten in den USA (49), der Türkei (31), Spanien (30), Kanada (22), Frankreich (20), Deutschland (19) und dem Vereinigten Königreich (UK) (17) befinden. Die Godfather-Malware zielt auch auf 110 Kryptowährungsaustauschplattformen und 94 Kryptowährungs-Wallet-Apps ab.
Die Malware wird über Malware-as-a-Service-Plattformen an verschiedene Bedrohungsakteure verteilt und ist in Google Play-Apps versteckt. Diese Apps scheinen legitim zu sein; sie enthalten jedoch eine Nutzlast, die so getarnt ist, dass sie durch Google Protect geschützt zu sein scheint. Wenn ein Opfer auf eine gefälschte Benachrichtigung reagiert oder versucht, eine dieser Apps zu starten, zeigt die Malware ein gefälschtes Web-Overlay an und beginnt, Benutzernamen und Kennwörter sowie SMS-basierte 2FA-Codes zu stehlen.
Nach der Installation auf dem Gerät des Opfers beginnt GodFather mit einer Reihe typischer Verhaltensweisen eines Banking-Trojaners, einschließlich des Diebstahls von Zugangsdaten für Bankgeschäfte und Kryptowährungen, so die Forscher. Er stiehlt jedoch auch sensible Daten wie SMS, grundlegende Gerätedaten, einschließlich Daten aus installierten Anwendungen, und die Telefonnummer des Geräts und kann im Hintergrund eine Vielzahl von schändlichen Aktionen durchführen.
Um eine Erkennung durch Antiviren-Software zu vermeiden, sind die analysierten GodFather-Beispiele mit benutzerdefinierten Verschlüsselungstechniken verschlüsselt. Als die Sicherheitsforscher diese App auf einem Testgerät installierten, stellten sie fest, dass sie ein Symbol und einen Namen hat, die denen einer legitimen App namens MYT Music ähneln. Diese legitime App ist auf Google Play verfügbar und wurde bereits über 10 Millionen Mal heruntergeladen.
GodFather zeigt auch gefälschte Anmeldeseiten für legitime Back- und Cryptocurrency-Austauschanwendungen an. Diese Phishing-Seiten werden verwendet, um Passwörter sowie Anmeldeinformationen wie Benutzernamen, Kunden-IDs, Passwörter usw. zu stehlen. GodFather zielt auf über 200 Banking-Anwendungen, über 100 Kryptowährungsaustauschplattformen und 94 Kryptowährungs-Wallet-Anwendungen ab.
GodFather durchsucht die Liste der Apps auf dem Gerät des Opfers nach passenden gefälschten Anmeldeformularen. Wenn das Opfer Banking- oder Kryptowährungsaustausch-Apps nutzt, die nicht auf der Liste von GodFather stehen, zeichnet die Malware den Bildschirm auf, um die eingegebenen Anmeldedaten zu erfassen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in HackRead.