Eine neue Welle des Android-Banking-Trojaners Anatsa infiziert Smartphones weltweit. Cyberkriminelle nutzen dafür scheinbar harmlose Apps aus dem offiziellen Google Play Store. Mehrere dieser Anwendungen erreichten bereits über hunderttausend Downloads, bevor Sicherheitsexperten sie entdeckten.
Der auch als TeaBot bekannte Schädling stiehlt Bankdaten, persönliche Informationen und Zwei-Faktor-Authentifizierungscodes. Seine neueste Taktik: Er tarnt sich in alltäglichen Werkzeug-Apps wie Dateimanagern oder PDF-Readern. Nach der Installation wartet die Malware oft wochenlang, bevor sie ihre schädliche Nutzlast nachlädt – eine clevere Methode, um die automatisierten Sicherheitschecks des Play Stores zu umgehen.
So trickst der Trojaner die Play-Store-Sicherheit aus
Anatsa nutzt eine sogenannte Dropper-Technik. Die ursprünglich im Store veröffentlichte App ist sauber und voll funktionsfähig. Das generiert positive Bewertungen und weckt kein Misstrauen.
Banking-Trojaner wie Anatsa verstecken sich oft in scheinbar harmlosen Apps und laden schädliche Module erst nach der Installation nach. Solche Angriffe führen schnell zu gestohlenen Zugangsdaten und abgefangenen TANs. Das kostenlose Anti-Phishing-Paket erklärt in einer praxisorientierten 4-Schritte-Anleitung, wie Sie manipulative App-Updates, gefälschte Installationsaufforderungen und Phishing-Muster erkennen und sich effektiv schützen. Anti-Phishing-Paket kostenlos herunterladen
Erst nachdem die App eine große Nutzerbasis hat, kontaktiert sie einen externen Server. Unter dem Deckmantel eines „Updates“ lädt sie dann die eigentliche Malware herunter. Nutzer werden aufgefordert, dieses Update zu installieren und erteilen dem Trojaner dabei weitreichende Berechtigungen.
Besonders kritisch ist der Zugriff auf Android’s Bedienungshilfen (Accessibility Services). Diese Funktion, eigentlich für Nutzer mit Einschränkungen gedacht, erlaubt es Anatsa:
* Den Bildschirminhalt auszulesen
* Tastatureingaben aufzuzeichnen
* Aktionen im Namen des Nutzers auszuführen
Vom Keylogger zum automatisierten Bankräuber
Ist Anatsa einmal aktiv, entfaltet er sein ganzes Arsenal. Der Trojaner überwacht das Gerät permanent. Öffnet der Nutzer eine Banking-App, legt die Malware ein gefälschtes Fenster darüber. Alle eingegebenen Login-Daten landen direkt bei den Cyberkriminellen.
Einige Varianten zeigen gefälschte „Wartungsarbeiten“-Benachrichtigungen an – während im Hintergrund bereits Überweisungen getätigt werden. Durch den Missbrauch der Bedienungshilfen kann Anatsa die Banking-App selbstständig bedienen, Transaktionen auslösen und diese mit abgefangenen SMS-TANs bestätigen.
Dieser „On-Device Fraud“ ist für Banken besonders schwer zu erkennen, weil die Transaktionen vom vertrauten Gerät des Kunden zu kommen scheinen. Das gestohlene Geld wird oft blitzschnell in Kryptowährungen gewaschen.
Globale Jagd auf Bankdaten – und Googles Gegenwehr
Anatsa ist eine globale Bedrohung. Aktuelle Analysen zeigen, dass die neuesten Varianten über 830 Finanzinstitute weltweit ins Visier nehmen. Die Zielliste umfasst Banken und Krypto-Plattformen in:
* Deutschland, Österreich und der Schweiz (DACH)
* Großbritannien und den USA
* Südkorea
In einer aufgeflogenen Kampagne tarnten sich zwei Apps als PDF- und QR-Code-Reader und kamen jeweils auf über 70.000 Downloads.
Google entfernt gemeldete bösartige Apps umgehend aus dem Play Store. Google Play Protect, auf allen Android-Geräten mit Google-Diensten aktiv, warnt Nutzer automatisch vor bekannten Versionen der Malware oder blockiert die Installation. Die wiederholten erfolgreichen Infiltrationen zeigen jedoch die Grenzen der proaktiven Erkennung bei solch trickreichen Schadprogrammen.
So schützen Sie sich vor Anatsa & Co.
Die Wachsamkeit der Nutzer ist der entscheidende Schutzfaktor. Experten raten zu diesen Maßnahmen:
- Apps kritisch auswählen: Installieren Sie nur Anwendungen von bekannten, vertrauenswürdigen Entwicklern und halten Sie die Anzahl der Apps minimal.
- Berechtigungen hinterfragen: Eine PDF-Reader-App braucht keinen Zugriff auf die Bedienungshilfen. Solche Anfragen sind ein klares Alarmzeichen. Prüfen und entziehen Sie regelmäßig unnötige Berechtigungen.
- Zwei-Faktor-Authentifizierung aktivieren: Nutzen Sie diese wichtige Schutzebene für alle Finanz-Apps.
- Bei Verdacht sofort handeln: Deinstallieren Sie die verdächtige App umgehend und ändern Sie die Passwörter für alle Banking- und Finanzdienste.
PS: Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden – von gefälschten Updates bis zu CEO-Fraud. Wenn Sie vermeiden wollen, dass Angreifer durch manipulierte Apps oder abgefangene TANs Zugriff auf Konten erhalten, hilft der kostenlose Report mit konkreten Abwehr-Schritten, Checklisten und Erkennungsmerkmalen. Ideal für Bankkunden und Unternehmen, die mobile Betrugsmaschen stoppen wollen. Gratis Anti-Phishing-Report anfordern
