Aktuell feiert die Android-Malware Godfather 2.0 ihr Comeback bzw. Erfolge beim Raubzügen beim Online-Banking. Zudem haben Sicherheitsforscher von Kaspersky den SparkKitty-Trojaner in Apps aus App-Stores gefunden.
Android-Malware Godfather 2.0
Godfather ist eigentlich ein Film (deutscher Titel „Der Pate“), es gibt aber auch ein Spiel mit diesem Namen. Und es gibt einen Banking-Trojaner mit dem Namen Godfather, vor dem die BaFin bereits 2023 in diesem Beitrag warnte. Die Schadsoftware soll insgesamt rund 400 Banking– und Krypto-Apps angreifen, darunter auch solche von Betreibern aus Deutschland.
Godfather 2.0 ist eine Weiterentwicklung dieser Malware, und nutzt Virtualisierungstechniken, um Banking-Apps auszutricksen. Die Kollegen von Bleeping Computer haben dies zum 19. Juni 2025 in diesem Beitrag aufgegriffen. Die mit Godfather 2.0 infizierten Apps werden zur Tarnung in einer kontrollierten virtuellen Umgebung auf dem Gerät ausgeführt. Ziel der Malware ist das Ausspähen von Zugangsdaten und die Manipulation von Transaktionen in Echtzeit.
Sicherheitsforscher von Zimperum sind bei ihren Analysen auf diese Godfather 2.0-Weiterentwicklung gestoßen und haben die Details in diesem Blog-Beitrag beschrieben. Alle gefundenen GodFather 2.0-Beispiele manipulieren die ZIP-Archive, die den Android AKP-Dateien zugrunde liegen. Die Bedrohungsakteure verändern das ZIP-Format der APK-Dateien und manipulieren die Struktur der Android-Manifest-Dateien, um statische Analysetools zu umgehen und eine Entdeckung zu vermeiden.
Zimperium hat die Godfather 2.0-Kampagne, die nur auf ein Dutzend türkischer Banking-Apps abzielt, entdeckt. Die Godfather-Hintermänner oder andere Betreiber könnten sich aber dazu entscheiden, andere Banking-Apps ins Visier zu nehmen und so anzugreifen.
Um sich vor dieser Malware zu schützen, sollten Benutzer nur Apps von Google Play oder APKs von vertrauenswürdigen Anbietern herunterladen. Zudem ist sicherzustellen, dass Play Protect aktiviert ist, und man sollte auf die angeforderten Berechtigungen achten. Weitere Details lassen sich im Zimperum Blog-Beitrag nachlesen. Eine deutschsprachige Analyse von Godfather 2.0 findet sich auch auf Tarnkappe.
SparkKitty-Trojaner im App-Store
Sicherheitsforscher von Kaspersky sind in App-Stores von Apple und Google auf den SparkKitty-Trojaner gestoßen. Die Malware lauerte im Apple App-Store in der App 币coin, Diese wurde zur Überwachung von Kryptowährungskursen und Handelssignalen entwickelt, und zielt auf den chinesischen Markt. Die Kasperky Sicherheitsforscher wissen nicht genau, wie dieser Trojaner in der App gelandet ist (entweder durch Kompromittierung der Lieferkette oder durch die Entwickler). Es seit das zweite Mal, dass ein Trojaner in den Apple App Store eingeschleust wurde. Apple wurde über die Entdeckung informiert und der Trojaner ist aus dem App-Store geflogen. Kaspersky hat das Ganze in diesem Blog-Beitrag dokumentiert.
