Smartphones werden zum Hauptziel für Finanzbetrug, wie zwei aktuelle Sicherheitsberichte zeigen. Angreifer nutzen Notiz-Apps aus und kapern Geräte in Echtzeit.
Die mobile Banking-Landschaft steckt in einer eskalierenden Krise. Cybersicherheitsforscher haben eine massive Welle neuer, hochsophistizierter Android-Schadprogramme aufgedeckt. Diese sind darauf ausgelegt, Nutzerkonten leerzuräumen und sensible persönliche Daten zu stehlen. Am 19. März 2026 verdeutlichten zwei Entwicklungen das Ausmaß der Bedrohung: der „2026 Banking Heist Report“ des Sicherheitsunternehmens Zimperium und die Enthüllung der neuen Android-Malware „Perseus“ durch ThreatFabric. Diese Entdeckungen zeigen einen fundamentalen Wandel in der Vorgehensweise von Cyberkriminellen. Sie umgehen zunehmend die Sicherheitssysteme der Banken, indem sie das Gerät des Nutzers direkt kompromittieren. Das Smartphone wird so zum primären Schlachtfeld für Finanzbetrug.
Angesichts der rasanten Entwicklung von Banking-Trojanern übersehen viele Android-Nutzer grundlegende Sicherheitsvorkehrungen auf ihren Geräten. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie WhatsApp, Online-Banking und sensible Daten effektiv vor Datendieben schützen. Gratis-Ratgeber: 5 sofort umsetzbare Schutzmaßnahmen entdecken
Perseus: Schadsoftware durchsucht persönliche Notizen
Forscher des Mobil-Sicherheitsunternehmens ThreatFabric enthüllten am 19. März 2026 die Entdeckung von Perseus. Diese neue Android-Malware geht ungewöhnlich vor: Sie durchsucht systematisch die persönlichen Notizen des Nutzers nach sensiblen Informationen. Die Schadsoftware nutzt die Android Accessibility Services, um Apps wie Google Keep, Evernote, Samsung Notes und Microsoft OneNote zu öffnen. Sie extrahiert Passwörter, Krypto-Wiederherstellungsphrasen und Finanzdaten, die im Klartext gespeichert sind.
Verbreitet wird Perseus hauptsächlich über inoffizielle App-Stores. Getarnt ist sie als Anwendung für günstige IPTV-Dienste, oft für Live-Sportübertragungen. Nutzer, die solche Apps sideloaden, spielen den Angreifern damit in die Hände. Nach der Installation prüft die Malware Hardware-Daten und Emulator-Spuren, um Analysen zu entgehen. In einer als sicher eingestuften Umgebung übernimmt sie dann die vollständige Kontrolle über das Gerät. Sie ermöglicht Bildschirmaufnahmen und sogenannte Overlay-Angriffe. Besonders im Visier stehen Finanzinstitute und Krypto-Dienste in der Türkei, Italien, Deutschland, Frankreich, Polen, Portugal und den Vereinigten Arabischen Emiraten. Perseus baut auf dem geleakten Code älterer Malware-Familien wie Cerberus auf – ein Beleg für die ständige Evolution der Bedrohungen.
Alarmierende Zahlen: Zimperium-Report zeigt explosionsartiges Wachstum
Parallel zur Entdeckung von Perseus veröffentlichte die Mobil-Sicherheitsfirma Zimperium ihren „2026 Banking Heist Report“. Die Ergebnisse zeigen eine drastische JZunahme bösartiger Aktivitäten gegen Finanz-Apps im vergangenen Jahr. Den Daten zufolge verfolgten die Forscher 34 aktive Malware-Familien, die über 1.200 Finanzinstitute in 90 Ländern ins Visier nehmen.
Die Statistiken belegen eine massive Eskalation: Zimperium dokumentierte einen Anstieg von 56 Prozent bei Android-Banking-Trojanern und einen gewaltigen Sprung von 271 Prozent bei einzigartigen Schadsoftware-Paketen. Insgesamt wurden über 250.000 verschiedene Varianten erfasst. Die Analyse kommt zu dem Schluss, dass 80 Prozent aller Finanzbetrugsfälle mittlerweile über Online- oder Mobile-Plattformen abgewickelt werden. Moderne Malware stiehlt nicht mehr nur Login-Daten. Sie fängt Authentifizierungscodes ab, überwacht Live-Sitzungen und imitiert überzeugend das Verhalten legitimer Apps. Die Lücke zwischen Angriffs- und Abwehrfähigkeiten vergrößert sich, da Cyberkriminelle Künstliche Intelligenz nutzen, um Reverse Engineering zu beschleunigen und Deepfakes für die Umgehung von Identitätsprüfungen einzusetzen.
Um Ihr Android-Smartphone gegen komplexe Bedrohungen abzusichern, sind teure Zusatz-Apps oft gar nicht nötig. In diesem kostenlosen Sicherheitspaket finden Sie einfache Schritt-für-Schritt-Anleitungen, die selbst unterschätzte Sicherheitslücken zuverlässig schließen. Kostenloses Android-Sicherheitspaket jetzt anfordern
Echtzeit-Angriffe: Regionale Trojaner kapern Zahlungssysteme
Die globale Welle zeigt sich auch in hochspezialisierten regionalen Kampagnen. Mitte März 2026 identifizierten Sicherheitsforscher „PixRevolution“, einen Banking-Trojaner, der das in Brasilien weit verbreitete Pix-Sofortzahlungssystem ausnutzt. Die Malware wird über gefälschte Apps vertrieben, die vertrauenswürdige Marken imitieren. Erhält sie die erforderlichen Berechtigungen, erhält ein menschlicher Angreifer Echtzeit-Einblick in das kompromittierte Gerät. So kann er Überweisungen genau in dem Moment kapern, in dem der Nutzer eine legitime Transaktion startet.
Ähnlich agiert das „Digital Lutera“-Toolkit, das Anfang März 2026 bekannt wurde. Dieses ausgeklügelte Betrugs-Framework zielt auf Nutzer des Unified Payments Interface (UPI) in Indien ab. Es manipuliert systemnahe Identitäts- und SMS-Funktionen, um SIM-basierte Sicherheitsmaßnahmen komplett zu umgehen. Indem es Bank-Registrierungsnachrichten abfängt und Einmal-Passwörter still an Telegram-Kanäle der Angreifer weiterleitet, ermöglicht es die Registrierung und Kontrolle von UPI-Konten auf fremden Geräten. Dieser Angriff untergräbt das grundlegende Vertrauen in das Gerät und macht traditionelle Sicherheitsvorkehrungen wirkungslos.
Accessibility-API: Das Einfallstor für mobile Trojaner
Die gemeinsame Schwachstelle, die diese verschiedenen Schadprogramme ausnutzen, ist der systematische Missbrauch der Android Accessibility API. Diese Schnittstelle, ursprünglich zur Unterstützung von Nutzern mit Behinderungen gedacht, ist zur primären Waffe für Mobile-Banking-Trojaner geworden. Wird ein Nutzer dazu gebracht, die Accessibility-Berechtigungen zu erteilen – oft unter dem Vorwand, eine App-Funktion zu aktivieren – erlangt die Malware effektiv die vollständige Kontrolle über das Betriebssystem.
Dieser Zugriff ermöglicht Overlay-Angriffe, bei denen gefälschte Login-Bildschirme nahtlos über legitime Banking-Apps gelegt werden, um Zugangsdaten abzugreifen. Fortgeschrittene Varianten verfügen zudem über „Blackout“-Modi, die den Bildschirm verdunkeln, während im Hintergrund unbefugte Transaktionen durchgeführt werden. Diese Techniken sind gezielt darauf ausgelegt, betrugserkennende Systeme auf Server-Seite zu überlisten. Da die betrügerischen Transaktionen vom authentifizierten Gerät des Nutzers ausgehen und dessen legitimes Netzwerk sowie Verhaltensmuster nutzen, werden sie von Backend-Algorithmen oft erst als verdächtig erkannt, wenn das Geld bereits überwiesen ist.
Ausblick: Banken müssen Sicherheitsstrategie anpassen
Angesichts der wachsenden Raffinesse von Android-Malware erwartet die Cybersicherheitsbranche einen notwendigen Paradigmenwechsel. Sich allein auf die Betrugserkennung im Backend zu verlassen, ist keine tragfähige Strategie mehr. Banken und Fintech-Unternehmen werden aufgefordert, umfassende Mobile Threat Visibility direkt in ihre Anwendungen zu integrieren.
Die regulatorische Prüfung der Mobil-App-Sicherheit dürfte sich verschärfen. Finanzinstitute werden fortschrittliche Runtime Application Self-Protection (RASP)-Mechanismen einführen müssen. Diese erkennen Kompromittierungen des Geräts, verhindern Reverse Engineering und blockieren Overlay-Angriffe, bevor eine Transaktion initiiert werden kann. Da Angreifer zunehmend große Sprachmodelle nutzen, um Malware-Code zu verfeinern und die Verbreitung zu automatisieren, wird die Geschwindigkeit der Angriffe weiter zunehmen. Der andauernde Kampf erfordert kontinuierliche Innovation und eine proaktive Sicherheitsstrategie auf Geräteebene, um die Zukunft des digitalen Bankings zu schützen.
