Cybersecurity-Forscher von Zimperium haben eine hochentwickelte Variante des berüchtigten Android-Banking-Trojaners Godfather identifiziert, die erstmals Virtualisierungstechnologien für mobile Angriffe einsetzt. Diese innovative Angriffsmethode stellt einen bedeutenden Entwicklungssprung in der Evolution mobiler Malware dar und ermöglicht es Cyberkriminellen, traditionelle Sicherheitsmechanismen zu umgehen.
Evolution des Godfather-Trojaners seit 2021
Der Banking-Trojaner Godfather wurde erstmals im März 2021 von ThreatFabric-Analysten dokumentiert und hat seitdem eine bemerkenswerte Entwicklung durchlaufen. Während die Malware Ende 2022 laut Group-IB-Analysen 400 Kryptowährungs- und Banking-Anwendungen in 16 Ländern mittels konventioneller HTML-Overlay-Techniken angriff, zielt die aktuelle Version auf über 500 Banking-, Kryptowährungs- und E-Commerce-Anwendungen weltweit ab.
Diese Expansion macht Godfather zu einer der umfassendsten Bedrohungen im Bereich der mobilen Cybersicherheit. Die Malware hat ihre Angriffsmethoden grundlegend weiterentwickelt und setzt nun auf ausgeklügelte Virtualisierungstechniken statt herkömmlicher Overlay-Angriffe.
Bahnbrechende Virtualisierungstechnik in mobilen Angriffen
Die neueste Godfather-Variante implementiert eine kontrollierte virtuelle Umgebung für die Ausführung bösartiger Operationen. Während ähnliche Techniken erstmals Ende 2023 bei der FjordPhantom-Malware beobachtet wurden, hat Godfather diese Konzepte erheblich weiterentwickelt und verfeinert.
Das technische Arsenal umfasst mehrere innovative Komponenten: Eine virtuelle Dateisystemarchitektur zur Prozessisolierung, virtualisierte Prozess-IDs zur Verschleierung der Malware-Aktivitäten, Intent-Manipulation für die Abfangung von Systembefehlen und eine spezialisierte StubActivity-Komponente als Proxy für legitime Anwendungen.
Funktionsweise der StubActivity-Architektur
Die StubActivity stellt das Herzstück der Angriffsstrategie dar – eine unsichtbare Activity ohne Benutzeroberfläche, die in die bösartige APK-Datei eingebettet ist. Diese Komponente fungiert als Proxy-System, das einen virtuellen Container erstellt und echte Banking-Anwendungen innerhalb der isolierten Umgebung ausführt, wodurch das Android-Betriebssystem effektiv getäuscht wird.
Technische Implementierung und Angriffsvektoren
Die Malware wird als APK-Datei mit integriertem Virtualisierungs-Framework verbreitet, das die Open-Source-Tools VirtualApp und Xposed für die Abfangung von Systemaufrufen nutzt. Nach der Installation scannt Godfather das Gerät systematisch nach Zielanwendungen und initiiert bei deren Erkennung eine komplexe Angriffskette.
Der Angriffsprozess erfolgt in mehreren kritischen Phasen: Zunächst erwirbt die Malware Accessibility Service-Berechtigungen für erweiterten Systemzugriff. Anschließend fängt sie Intent-Aufrufe beim Start legitimer Anwendungen ab, leitet diese zur StubActivity innerhalb des Host-Containers um und startet schließlich eine virtualisierte Kopie in der isolierten Umgebung.
Datenerfassung durch API-Hooking
Durch die Nutzung des Xposed-Frameworks für API-Hooking erhält Godfather umfassenden Zugriff auf sensible Informationen. Dazu gehören Anmeldedaten und Passwörter, PIN-Codes und biometrische Daten, detaillierte Touchscreen-Interaktionen zur Verhaltensanalyse sowie Echtzeitantworten von Banking-Servern.
Ausführung betrügerischer Transaktionen
Nach der erfolgreichen Datensammlung geht die Malware in die aktive Angriffsphase über. Die Angreifer übernehmen remote die Kontrolle über das kompromittierte Gerät, um unauthorized Finanztransaktionen durchzuführen. Während dieser kritischen Phase werden dem Benutzer gefälschte „Update“-Bildschirme oder schwarze Displays angezeigt, um die verdächtigen Aktivitäten zu verschleiern.
Die aktuelle Kampagne, die von Zimperium identifiziert wurde, konzentriert sich primär auf türkische Bankinstitutionen. Sicherheitsexperten warnen jedoch vor einer möglichen Ausweitung der Angriffe auf andere Regionen, unterstützt durch die umfangreiche Datenbank von 500 Zielanwendungen.
Die Integration fortschrittlicher Virtualisierungstechniken in mobile Malware markiert einen paradigmatischen Wandel in der Bedrohungslandschaft. Nutzer sollten konsequent aktuelle Antiviren-Software verwenden, ausschließlich Anwendungen aus offiziellen Quellen installieren und regelmäßig App-Berechtigungen überprüfen. Finanzinstitutionen wird empfohlen, Multi-Faktor-Authentifizierung zu stärken und erweiterte Anomalie-Erkennungssysteme zu implementieren, um Kundendaten effektiv zu schützen.
