Godfather 2.0 kapert Banking-Apps per Android-Virtualisierung. Neue Malware-Variante ermöglicht Echtzeit-Diebstahl – trotz echter UI.
Die Android-Malware „Godfather“ ist mit Version 2.0 zurück – und gefährlicher denn je. Mit einem ausgeklügelten Virtualisierungs-Framework verwandelt sie Smartphones in digitale Schaubühnen für Cyberkriminelle. Banking-Apps werden nun nicht mehr einfach nur überlagert, sondern vollständig in virtuelle Container eingespeist. Das Resultat: ein täuschend echtes Nutzererlebnis, das dem Opfer Sicherheit vorgaukelt – während im Hintergrund das digitale Portemonnaie geplündert wird. Eine technische Finte, die imstande ist, das Vertrauen ins Mobile Banking nachhaltig zu erschüttern.
Was ist neu an Godfather 2.0?
Laut der aktuellen Analyse von Zimperium setzt die jüngste Version der Godfather-Malware auf einen radikalen Wechsel der Taktik: Statt wie bisher mit simplen Overlay-Fakes zu arbeiten, nutzt sie Virtualisierung auf dem Gerät selbst. Ziel: legitime Apps in einer Sandbox auszuführen, die sie vollständig kontrollieren kann:
„Dieser Host lädt dann eine Kopie der angegriffenen Banking- oder Kryptowährungs-App herunter und führt sie in seiner kontrollierten Sandbox aus. Startet ein Nutzer die App, wird er nahtlos zu dieser virtualisierten Instanz umgeleitet, wo jede Aktion, jeder Fingertipp und jede Dateneingabe zur Laufzeit von der Malware überwacht und kontrolliert wird.“
So entsteht eine isolierte Umgebung mit eigenem Dateisystem, Prozess-IDs und sogar eigenem Intent-System. Für das Android-System sieht alles legal aus – denn im Manifest der Malware sind nur Aktivitäten der Host-App deklariert. Die bösartige Steuerung läuft im Hintergrund, während das Opfer die echte Oberfläche seiner Banking-App sieht.
Technisches Setup: StubActivity, Intent-Spoofing und Xposed-Hooks
Die Malware tarnt sich als legitime App (APK), enthält aber eine modifizierte VirtualApp-Engine und Xposed-Module. Nach der Installation durchsucht Godfather 2.0 das Gerät nach über 500 potenziellen Zielanwendungen – darunter Banking-, Krypto- und E-Commerce-Apps weltweit. Diese werden durch eine sogenannte StubActivity gestartet – ein Proxy innerhalb des Malware-Containers. Über Xposed-Hooks zeichnet Godfather 2.0 dann sämtliche Eingaben, Passwörter und PINs auf – inklusive Backend-Kommunikation.
Während der Nutzer denkt, er tippt in seine vertraute Banking-App, werden sämtliche Eingaben – Passwörter, PINs, Transaktionen – live mitprotokolliert. Xposed sorgt für präzise API-Hooks, mit denen Godfather sogar Rückmeldungen vom Backend der Bank abfängt. Wenn das Opfer seine Zugangsdaten (z. B. Passwort) eintippen soll, blendet Godfather 2.0 gefälschte Overlays wie einen gefälschten Sperrbildschirm ein. So landen alle Daten direkt bei den Angreifern.
Nachdem die sensiblen Daten abgesaugt wurden, tritt Phase zwei in Kraft: Die Malware wartet auf Befehle aus dem Command-and-Control-Backend. Per Fernzugriff können Angreifer nun das Gerät entsperren, Apps öffnen, durch die Benutzeroberfläche navigieren und sogar Überweisungen auslösen – alles im Container der echten App. Das Opfer sieht dabei nur einen gefälschten „Update“-Screen oder einen Blackout – perfekt inszeniert.
Schon FjordPhantom zeigte 2023, wie gefährlich Virtualisierung auf Android sein kann. Doch Godfather 2.0 geht weiter: Es kombiniert alle bekannten Tricks mit hochentwickelter Container-Technologie und Fake-Aktivitäten, die das Android-System narren. Aktuell umfasst das Arsenal von Godfather 2.0 laut Zimperium hunderte Apps weltweit. Auch in ganz Europa ist die Kampagne umfangreich: So sind große Banken in Deutschland, Spanien, Frankreich und Italien auf der Zielliste.
Zimperium führt zudem aus:
„Die Malware zielt auf über 100 verschiedene Kryptowährungsanwendungen ab. Dazu gehören die weltweit größten und beliebtesten Krypto-Börsen mit jeweils mehreren zehn Millionen Nutzern. Die Liste umfasst außerdem Dutzende der gängigsten Software- und mobilen Wallets zur Speicherung digitaler Vermögenswerte sowie die offiziellen Begleit-Apps führender Hardware-Wallets. Dieser weitreichende Angriff deutet auf ein strategisches Ziel hin, Nutzer im gesamten Krypto-Ökosystem zu kompromittieren – vom Gelegenheitsinvestor bis zum erfahrenen Trader.„
Schutzmaßnahmen: So sichert man sich vor Godfather 2.0
- Nur Apps aus Google Play beziehen
- APK-Dateien nur von absolut vertrauenswürdigen Quellen laden
- Androids „Play Protect“ aktivieren
- Keine App mit Barrierefreiheitsrechten leichtfertig bestätigen
- Auf ungewöhnliche Berechtigungsanfragen achten
Fazit: Godfather 2.0 – Die Android-Malware mit Hollywood-Kulisse
Godfather 2.0 ist der Blockbuster der Android-Malware-Szene: visuell perfekt, technisch brillant – und brandgefährlich. Wer denkt, er ist in seiner Banking-App sicher, spielt möglicherweise nur eine Nebenrolle in einem digitalen Heist. Was aussieht wie deine Banking-App, ist in Wahrheit nur eine Kulisse – die echte Show läuft im Hintergrund. Die nächste Generation der Malware ist nicht nur da – sie hat längst übernommen.
Damit demonstriert Godfather eindrucksvoll, dass Android-Malware längst nicht mehr nur primitive Phishing-Versuche startet, sondern inzwischen mit hochkomplexen Virtualisierungs-Engines arbeitet. Die klassische Trennung zwischen echter App und bösartiger Kontrolle verschwimmt – zum Nachteil der Nutzer.
