Drei aktuelle Forschungsberichte enthüllen eine massive, neuartige Angriffswelle mit Android-Banking-Trojanern. Sie bedrohen Tausende Finanz-, Krypto- und Social-Media-Apps mit raffinierter Technik.
Zimperium warnt vor vier globalen Schadsoftware-Kampagnen
Ein umfassender Bericht von Zimperium zLabs identifizierte vier neue Android-Trojaner-Familien: RecruitRat, SaferRat, Astrinox und Massiv. Sie zielen weltweit auf über 800 Anwendungen ab. Der Angriff geht weit über das Abgreifen von Passwörtern hinaus. Die Malware übernimmt Konten komplett und leitet Geld in Echtzeit ab.
Angesichts der neuen Angriffswelle auf Banking-Apps ist der Schutz sensibler Daten auf dem Smartphone wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Infektionswege sind vielfältig. RecruitRat nutzt gefälschte Jobportale und Social-Media-Werbung. SaferRat lockt mit angeblichem Gratis-Zugang zu Premium-Streamingdiensten. Astrinox, auch als Mirax bekannt, verbreitet sich über Werbung auf großen Social-Media-Plattformen.
Die technischen Fähigkeiten sind alarmierend. Die Trojaner missbrauchen die Android Accessibility Services, um dauerhafte Kontrolle über das Gerät zu erlangen. Eine besonders gefährliche Methode ist die sogenannte „Blindfold“-Technik. Dabei legt die Malware ein statisches Bild oder einen gefälschten System-Update-Bildschirm über die echte Benutzeroberfläche.
Der Nutzer denkt, sein Telefon sei eingefroren oder aktualisiere sich. Währenddessen arbeiten die Angreifer im Hintergrund. Sie überwachen Kontakte, lesen private Nachrichten und fangen Einmalkennwörter (OTPs) aus SMS ab.
ESET entdeckt NFC-Betrug durch manipulierte Bezahl-Apps
Einen Tag später, am 21. April, meldete ESET Research einen besorgniserregenden Fund. Eine neue Variante der NGate-Malware zielt speziell auf Bezahldaten und PINs ab. Statt auf Open-Source-Tools setzt diese Kampagne auf eine manipulierte Version von HandyPay. Diese legitime NFC-Relay-App war jahrelang im Google Play Store verfügbar.
Die Wahl ist clever: Während Malware-as-a-Service-Kits Hunderte Euro pro Monat kosten können, verlangt HandyPay nur eine symbolische monatliche Spende von etwa zehn Euro. Da es sich um ein funktionierendes Bezahltool handelt, wirft es zudem weniger Sicherheitsbedenken auf. So überredet es Nutzer leichter, es als Standard-NFC-Bezahlhandler einzurichten.
Ist die infizierte App installiert, fordert sie das Opfer auf, seine Kreditkarten-PIN einzugeben und die physische Karte an das Gerät zu halten. Die Malware erfasst die NFC-Daten und leitet sie an ein geräte des Angreifers weiter. Damit lassen sich dann unbefugte kontaktlose Zahlungen oder Geldautomaten-Abhebungen tätigen.
ESET-Forscher fanden Hinweise auf generative KI. Der injizierte Schadcode enthält Muster, die auf die Nutzung großer Sprachmodelle hindeuten – etwa spezifische Emoji-Ketten in den Logs. Attackieren nutzen KI demnach zunehmend, um bösartige Skripte zu modifizieren oder zu generieren.
MiningDropper: Flexibles Framework für mehrstufige Angriffe
Die Bedrohungslage wird durch das MiningDropper-Framework weiter verkompliziert. Cyble analysierte dieses mehrstufige Verteilungssystem. Es ist flexibel und ermöglicht es, je nach Gerät des Opfers verschiedene finale Schadlasten zu installieren.
Da herkömmliche Sicherheits-Tools oft nicht ausreichen, um raffinierte Banking-Trojaner zu stoppen, empfehlen Experten zusätzliche Schutzebenen für jedes Android-Gerät. Erfahren Sie in diesem Gratis-PDF, wie Sie WhatsApp, PayPal und Co. endlich sicher nutzen und Datenmissbrauch verhindern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Oft beginnt es mit einem Krypto-Miner. Das System kann dann aber zu gefährlicheren Bedrohungen wie Informationsdieben oder dem BTMOB Remote Access Trojan (RAT) wechseln. Dieser RAT kann den Bildschirm aufzeichnen und über WebView-Injection Anmeldedaten stehlen.
Die Kampagne ist besonders in Indien, Europa und Südostasien aktiv. Sie nutzt gefälschte Websites, die Telekom-Anbieter, Banken oder staatliche Transportportale imitieren. In den letzten vier Wochen wurden über 1.500 einzigartige Proben dieses Frameworks entdeckt. Viele davon werden von Standard-Antivirenprogrammen kaum erkannt.
Gemeinsame Taktik: Ausnutzung nativer Android-Funktionen
Die gemeinsame Strategie aller aktuellen Bedrohungen ist die Ausnutzung nativer Android-Funktionen und herstellerspezischer Software. Am 22. April veröffentlichte das Sicherheitsunternehmen Oversecured einen Bericht über 180 Schwachstellen in Samsungs vorinstallierten System-Apps.
Diese spezifischen Lücken wurden gemeldet und gepatcht. Der Bericht unterstreicht jedoch ein grundsätzliches Problem: Vorinstallierte Apps laufen oft mit Systemrechten und entziehen sich der Prüfung durch Google Play Protect.
Moderne Trojaner wie Sturnus und Mirax setzen zudem auf die Ausführung nativer Bibliotheken, um die statische Analyse zu erschweren. Sie verschleiern bösartige Zeichenketten mit XOR- und AES-Verschlüsselung und entschlüsseln sie erst zur Laufzeit. So bleiben sie lange unentdeckt.
Der Einsatz von Echtzeit-Fernzugriff via WebSocket und VNC ermöglicht Betrug direkt auf dem Gerät (On-Device Fraud). Diese Methode ist besonders effektiv, da Transaktionen von der legitimen IP-Adresse und dem Gerät des Opfers zu stammen scheinen. Banken haben es schwer, sie als betrügerisch zu erkennen.
Schutzmaßnahmen: SMS-Zweifaktorauthentifizierung reicht nicht mehr
Die Konvergenz aus günstigen Verteilungs-Frameworks, KI-unterstützter Entwicklung und raffinierter Fernzugriffstechnik deutet auf eine weitere Eskalation der mobilen Bedrohung im Frühjahr 2026 hin.
Sicherheitsexperten betonen: Die traditionelle SMS-basierte Zwei-Faktor-Authentifizierung ist nicht mehr ausreichend. Moderne Malware kann diese Codes in Echtzeit abfangen.
Behörden und Cybersicherheits-Agenturen empfehlen Android-Nutzern dringend:
* Apps niemals von Drittanbieter-Websites oder über Links in WhatsApp/Telegram zu installieren.
* App-Berechtigungen kritisch zu prüfen, besonders bei Anfragen für Accessibility Services oder die Installation unbekannter Pakete.
* Auf verdächtige System-Updates oder Sicherheits-Tools zu achten, die Angreifer zunehmend realistisch nachahmen.
Die Branche erwartet eine Abkehr von schwachen Authentifizierungsmethoden. Der Trend geht hin zu robusteren, hardwaregestützten Verfahren und einer strengeren Prüfung der Lieferkette für vorinstallierte Mobilsoftware.
