GodFather Android Malware führt echte Apps in einer Sandbox aus, um Daten zu stehlen

Cybersicherheitsforscher der Zimperium zLabs unter der Leitung von Fernando Ortega und Vishnu Pratapagiri haben eine gefährliche neue Version der Android-Malware GodFather entdeckt. Diese nutzt eine fortschrittliche Technik namens On-Device-Virtualisierung, um legitime mobile Apps zu übernehmen. Sie zielt insbesondere auf Banking- und Kryptowährungs-Apps ab und macht Ihr Gerät so effektiv zu einem Spion.

Anstatt nur ein gefälschtes Bild anzuzeigen, installiert die Malware eine versteckte Host-App, die dann eine echte Kopie Ihrer Banking- oder Krypto-App herunterlädt und in einem eigenen, kontrollierten Bereich, einer Sandbox, ausführt. Wenn Sie versuchen, Ihre eigentliche App zu öffnen, leitet die Malware Sie zu dieser virtuellen Version weiter.

Die Malware überwacht und steuert dann jede Aktion, jeden Tipp und jedes eingegebene Wort in Echtzeit. So ist es für Sie nahezu unmöglich, etwas Ungewöhnliches zu bemerken, da Sie mit der echten App interagieren, nur eben in einer manipulierten Umgebung. Diese ausgeklügelte Technik ermöglicht es Angreifern, Benutzernamen, Passwörter und Geräte-PINs abzugreifen und so die vollständige Kontrolle über Ihre Konten zu erlangen.

Diese Methode verschafft Angreifern einen enormen Vorteil. Sie können sensible Daten direkt bei der Eingabe stehlen und sogar die Funktionsweise der App ändern, indem sie Sicherheitsprüfungen umgehen, darunter auch solche, die das Rooten eines Telefons erkennen. Die Banking-Malware GodFather basiert auf der Umnutzung mehrerer legitimer Open-Source-Tools wie VirtualApp und XposedBridge, um ihre irreführenden Angriffe auszuführen und der Erkennung zu entgehen.

GodFather nutzt zwar seine fortschrittliche Virtualisierung , setzt aber auch weiterhin auf traditionelle Overlay-Angriffe, bei denen irreführende Bildschirme direkt über legitimen Anwendungen platziert werden. Dieser duale Ansatz zeigt die bemerkenswerte Fähigkeit der Bedrohungsakteure, ihre Methoden anzupassen.

Laut einem Blogbeitrag des Unternehmens ist die Android-Malware-Kampagne „GodFather“ weit verbreitet und zielt weltweit auf 484 Anwendungen ab. Der hochentwickelte Virtualisierungsangriff konzentriert sich derzeit jedoch auf zwölf spezifische türkische Finanzinstitute. Diese breite Reichweite umfasst nicht nur Bank- und Kryptowährungsplattformen, sondern auch wichtige globale Dienste für Zahlungen, E-Commerce, soziale Medien und Kommunikation.

Die Malware nutzt außerdem clevere Tricks, um nicht von Sicherheitstools entdeckt zu werden. Sie verändert die Zusammenstellung von APK-Dateien (Android-App-Paketen), manipuliert deren Struktur, um sie verschlüsselt aussehen zu lassen, oder fügt irreführende Informationen wie $JADXBLOCK hinzu. Außerdem verschiebt sie einen Großteil ihres schädlichen Codes in den Java-Teil der App und erschwert die Lesbarkeit der Android-Manifestdatei durch irrelevante Informationen.

Weitere Untersuchungen ergaben, dass GodFather weiterhin die Bedienungshilfen von Android (die Nutzern mit Behinderungen helfen sollen) nutzt, um Nutzer dazu zu verleiten, versteckte Teile der App zu installieren. Die App verwendet irreführende Meldungen wie „Sie benötigen eine Berechtigung, um alle Funktionen der App nutzen zu können“. Sobald GodFather die Berechtigung für die Bedienungshilfen erhält, kann es sich heimlich weitere Berechtigungen erteilen, ohne dass der Nutzer davon erfährt.

Außerdem verbirgt die Malware wichtige Informationen, wie beispielsweise die Verbindung zum Kontrollserver (C2), in verschlüsselter Form, was ihre Verfolgung erschwert. Sobald sie aktiv ist, sendet sie Details Ihres Bildschirms an die Angreifer und ermöglicht ihnen so eine Echtzeitansicht Ihres Geräts. Diese Entdeckung unterstreicht die anhaltende Herausforderung für die mobile Sicherheit, da Bedrohungen immer komplexer und schwerer zu erkennen werden.

„ Das ist definitiv eine neuartige Technik, und ich sehe ihr Potenzial “ , sagte Casey Ellis , Gründer von Bugcrowd. „ Es wird interessant sein zu sehen, wie effektiv sie in der Praxis tatsächlich ist, ob die Bedrohungsakteure sie außerhalb der Türkei einsetzen und ob andere Bedrohungsakteure versuchen, einen ähnlichen Ansatz zu replizieren. “