Overlay-Angriffe auf Android-Geräte werden zur perfiden Gefahr für Bankkunden. Diese Attacken überlagern legitime Banking-Apps mit gefälschten Bildschirmen und stehlen so Anmeldedaten. Sicherheitsforscher warnen vor immer raffinierteren Methoden der Cyberkriminellen.
So funktioniert der unsichtbare Diebstahl
Bei einem Overlay-Angriff legt eine Schad-App eine täuschend echte Fälschung über Ihre Banking-App. Sie geben Ihre PIN oder TAN ein – aber nur in die Maske der Betrüger. Diese nutzen oft die Android-Bedienungshilfen (Accessibility Services) aus, um andere Apps zu überwachen.
Die Malware wird meist per Phishing-SMS oder -Mail verbreitet. Nutzer werden dazu verleitet, eine schädliche App von außerhalb des Google Play Stores zu installieren. Jüngst missbrauchten Angreifer sogar Plattformen wie Hugging Face, um ihre Schadsoftware zu hosten.
Googles Gegenwehr: Neue Schutzfunktionen
Google hat die Sicherheit in neueren Android-Versionen verschärft. Ab Android 12 können Banken-Apps die Funktion setHideOverlayWindows(true) nutzen. Sie blockiert nicht-systemeigene Overlays über sensiblen Passwort-Feldern.
Phishing und schädliche Overlays verbreiten sich oft per SMS, Mail oder über gefälschte Apps – viele Nutzer erkennen die Masche zu spät. Das kostenlose Anti-Phishing-Paket erklärt in einer klaren 4‑Schritte-Anleitung, wie Sie verdächtige Links, Sideload-Angebote und manipulierte Overlay-Fenster erkennen und welche Sofortmaßnahmen wirklich helfen. Enthalten sind praxisnahe Checklisten speziell für Android-Banking und Hinweise für biometrische Sicherungen. Sichern Sie Ihr Online-Banking noch heute mit einfachen Schritten aus dem Guide. Jetzt Anti-Phishing-Paket herunterladen
Für ältere Android-Versionen hilft setFilterTouchesWhenObscured(true). Zudem setzen Entwickler auf:
* Code-Verschleierung (Obfuscation) gegen Reverse-Engineering
* Laufzeitschutz (RASP), der Overlays in Echtzeit erkennt
* Den integrierten Scanner Google Play Protect
Was Nutzer selbst tun können
Die wichtigste Verteidigung ist Wachsamkeit. Installieren Sie Apps ausschließlich aus dem Google Play Store. Das „Sideloading“ aus unbekannten Quellen umgeht wichtige Sicherheitsprüfungen.
Prüfen Sie kritisch, welche Berechtigungen eine App fordert. Warum sollte ein Spiel Zugriff auf Bedienungshilfen verlangen? Nutzen Sie zudem biometrische Anmeldeverfahren wie Fingerabdruck – sie sind sicherer als die Eingabe in potenziell gefälschte Felder.
Die Zukunft: KI-Duell und schärfere Regeln
Die Bedrohung wird nicht weniger. Kriminelle setzen zunehmend KI ein, um ihre Angriffe zu skalieren und Fälschungen zu verbessern. Die Sicherheitsbranche kontert mit eigener KI-gestützter Echtzeiterkennung.
Google plant eine verpflichtende Entwickler-Verifizierung. Künftig müssen sich App-Ersteller registrieren, um auf zertifizierten Geräten gelistet zu werden. Das soll es Betrügern erschweren, nach einer Sperrung einfach unter neuem Namen zurückzukehren.
PS: Sie möchten Ihre Konten wirklich schützen? Der kostenlose Anti-Phishing-Report führt in vier verständlichen Schritten durch Erkennung, Prävention und Sofortmaßnahmen – inklusive konkreter Hinweise gegen Sideloading, manipulierte Overlays und KI‑gestützte Fälschungen. Der Guide erklärt, welche Einstellungen Sie in Android prüfen sollten und welche Verhaltensregeln verdächtige Installationen verhindern. Ideal für alle Bankkunden, die ihre Sicherheit schnell verbessern wollen. Kostenlosen Anti-Phishing-Report anfordern
