Ein Android-Bankentrojaner namens GodFather wird verwendet, um Nutzer von mehr als 400 Banking- und Kryptowährungs-Apps in 16 Ländern anzugreifen.
Dazu gehören 215 Banken, 94 Krypto-Wallet-Anbieter und 110 Krypto-Tauschplattformen, die unter anderem Nutzer in den USA, der Türkei, Spanien, Italien, Kanada und Kanada bedienen, so das in Singapur ansässige Unternehmen Group-IB in einem Bericht an The Hacker News.
Wie viele andere Finanztrojaner, die auf das Android-Ökosystem abzielen, versucht die Malware, Anmeldedaten zu stehlen, indem sie überzeugende Overlay-Bildschirme (auch Web-Fakes genannt) erzeugt, die über den Zielanwendungen angezeigt werden.
GodFather wurde erstmals im Juni 2021 von Group-IB entdeckt und im März 2022 von ThreatFabric öffentlich gemacht. Er verfügt außerdem über native Backdoor-Funktionen, die es ihm ermöglichen, die Accessibility-APIs von Android zu missbrauchen, um Videos aufzuzeichnen, Tastatureingaben zu protokollieren, Screenshots zu machen und SMS- und Anrufprotokolle zu sammeln.
Die Analyse der Malware durch Group-IB hat ergeben, dass es sich um einen Nachfolger von Anubis handelt, einem anderen Banking-Trojaner, dessen Quellcode im Januar 2019 in einem Untergrundforum geleakt wurde. Es heißt auch, dass er über das Malware-as-a-Service (MaaS)-Modell an andere Bedrohungsakteure verteilt wird.
Die Ähnlichkeiten zwischen den beiden Malware-Familien erstrecken sich auf die Methode zum Erhalt der Command-and-Control (C2)-Adresse, die Implementierung von C2-Befehlen und die Module Web-Fake, Proxy und Screen-Capture. Die Funktionen zur Audioaufzeichnung und Standortverfolgung wurden jedoch entfernt.
„Interessanterweise verschont GodFather Nutzer in postsowjetischen Ländern“, so Group-IB. „Wenn die Systemeinstellungen des potenziellen Opfers eine der Sprachen dieser Region enthalten, schaltet sich der Trojaner ab. Das könnte darauf hindeuten, dass die Entwickler von GodFather russischsprachig sind.“
GodFather zeichnet sich dadurch aus, dass er seine Command-and-Control (C2)-Serveradresse durch die Entschlüsselung von Telegram-Kanalbeschreibungen, die mit der Blowfish-Chiffre verschlüsselt sind, erhält.
Der genaue Modus Operandi zur Infizierung von Nutzergeräten ist nicht bekannt, aber eine Untersuchung der Command-and-Control (C2)-Infrastruktur des Bedrohungsakteurs zeigt, dass trojanisierte Dropper-Apps ein möglicher Verbreitungsvektor sind.
Dies basiert auf einer C2-Adresse, die mit einer App namens Currency Converter Plus (com.plus.currencyconverter) verknüpft ist, die im Juni 2022 im Google Play Store zu finden war. Die fragliche Anwendung steht nicht mehr zum Download zur Verfügung.
Ein weiteres Artefakt, das von Group-IB untersucht wurde, gibt sich als der legitime Google Play Protect-Dienst aus, der beim Start eine laufende Benachrichtigung erstellt und sein Symbol aus der Liste der installierten Anwendungen ausblendet.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem Cyble eine Reihe von GodFather-Samples entdeckt hat, die sich als MYT M??zik-App ausgeben und an Nutzer in der Türkei gerichtet sind.
GodFather ist nicht die einzige Android-Malware, die auf Anubis basiert. Anfang Juli dieses Jahres deckte ThreatFabric auf, dass eine modifizierte Version von Anubis, bekannt als Falcon, auf russische Nutzer abzielte, indem sie sich als die staatliche VTB Bank ausgab.
„Das Auftauchen von GodFather unterstreicht die Fähigkeit von Bedrohungsakteuren, ihre Tools zu bearbeiten und zu aktualisieren, um ihre Effektivität aufrechtzuerhalten, obwohl die Anbieter von Malware-Erkennung und -Prävention sich bemühen, ihre Produkte zu aktualisieren“, sagt Artem Grischenko, Forscher bei Group-IB.
„Mit einem Tool wie GodFather sind die Bedrohungsakteure nur durch ihre Fähigkeit begrenzt, überzeugende Web-Fakes für eine bestimmte Anwendung zu erstellen. Manchmal kann die Fortsetzung wirklich besser sein als das Original.“