Rückkehr der GodFather-Malware; zielt auf Bankkunden

Sicherheitsforscher weisen in einem Blog-Beitrag drauf hin, dass die GodFather-Malware wieder zurück sei. GodFather ist ein berüchtigter Android-Bankentrojaner, der dafür bekannt ist, dass er es auf Banknutzer, vor allem in europäischen Ländern, abgesehen hat. Aktuell zielt der Trojaner wohl über die App mit dem Namen MYT Müzik, die in türkischer Sprache geschrieben ist, auf Android-Nutzer in der Türkei.

Cyble Research & Intelligence Labs (CRIL) berichtete im März 2022 in einem Blog-Beitrag über diese GodFather-Android-Malware und erläuterte, wie sie Android-Banking-Nutzer weltweit angreift. Vor kurzem hat CRIL mehrere GodFather-Android-Samples identifiziert, die sich als MYT-Anwendung für Android tarnen.

Die analysierten GodFather-Samples sind mit benutzerdefinierten Verschlüsselungstechniken verschlüsselt, um die Erkennung durch Antivirenprodukte zu umgehen. Bei der Installation dieser Anwendung auf einem Testgerät stellten die Sicherheitsforscher fest, dass die App ein Symbol und einen Namen verwendet, die denen einer legitimen Anwendung namens MYT Music ähneln. Diese legale App wird im Google Play Store gehostet und verzeichnet mehr als 10 Millionen Downloads. Das Bild unten zeigt das Symbol und den Namen der bösartigen Anwendung auf dem Bildschirm des Android-Geräts.

Die GodFather Android-Malware stiehlt nach erfolgreicher Installation auf dem Gerät des Opfers sensible Daten wie SMS, grundlegende Gerätedaten, einschließlich Daten zu installierten Apps, und die Telefonnummer des Geräts. Darüber hinaus kann sie den Bildschirm des Geräts über VNC steuern, eingehende Anrufe auf dem Gerät des Opfers weiterleiten und Banking-URLs einschleusen. Details zur Analyse lassen sich im Cyble-Blog in diesem Beitrag nachlesen. Dort finden sich auch Hinweise, wie man Infektionen vermeiden oder erkennen kann.