Zu Beginn der Woche spricht die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Warnung aus: „Aktuelle Schadsoftware „Godfather“ greift Banking- und Krypto-Apps an“. So habe „Godfather“ bereits 400 Banking- und Krypto-Apps attackiert, unter den Betroffenen sind auch 19 Institute aus Deutschland.
Bisher sei aufgefallen, dass die Schadsoftware versucht das Prinzip des Onlinebanking herkömmlicher Finanzinstitute nachzustellen. So werden etwa verfälschte Versionen von Banking- und Krypto-Apps angezeigt, um schließlich die Log In-Daten der Verbraucher an cyberkriminelle Organisation zu transferieren. Darüber hinaus versuche man sich über Push-Benachrichtigungen die Codes für die Zwei-Faktor-Authentifizierung zu verschaffen.
Die Frage nach dem „Wie“ bleibt offen
Die kurze Eilmeldung gibt Aufschluss über das Wer, Was und Wo – doch nicht alle W-Fragen können hier vollends geklärt werden. So bleibt weiterhin offen, etwa welche Banking-Apps genau betroffen sind. Ebenso wenig wird der Schadensumfang für die Banken und deren Kundschaft erwähnt. Auf das „Wie“, heißt die Methode, mit der Godfather auf die befallenen Endgeräte kommt, weiß auch die BaFin keine Antwort. Hier wird lediglich ein ratgebendes Video des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit praktischen Tipps zum Umgang mit mobilen Geräten empfohlen.
Bekannt ist der Trojaner bereits seit einigen Jahren. Sicherheitsexperten von Cyble zufolge, ist Godfather ein Nachfolger oder ein Derivat der Malware Anubis. In Anubis letztem großen Angriff wies sich die Schadsoftware als offizielle Account-Management-Anwendung des französischen Telekommunikationsunternehmens Orange S.A. aus. Auch sonst verhielt sich Anubis ähnlich wie Godfather: Der Trojaner zielte speziell auf Android-Geräte ab und zeichnete, mit der Fähigkeit Tastatureingaben mitzuschneiden, die Aktivitäten auf verschiedenen Banking-Apps auf. All das mit dem großen Ziel, Kundendaten abzugreifen.
Herausgefunden wurde außerdem, dass sich der Trojaner bei bestimmten Systemsprachen automatisch deaktiviert. Angriffe bei Nutzern aus Russland, Aserbaidschan, Armenien, Belarus, Kasachstan, Kirgisistan, Moldawien, Usbekistan oder Tadschikistan werden abgeblockt. Dies schöpft bei Sicherheitsexperten den Verdacht, die Angreifer mögen aus den genannten Staaten stammen. Nutzern wird besondere Vorsicht angeraten, auch sollten sie die Aktivierung von Google Play Protect stets sicherstellen und Finanz-Apps lediglich aus dem Play Store laden. An einer effektiven Angriffsabwehr arbeiten Cyberexperten nach wie vor mit Hochdruck.
TIPP: Sie möchten Sie gern mehr über aktuelle Entwicklungen aus der Finanzbranche erfahren? Dann werden Sie hier fündig.
