Eine neue Android-Schadsoftware namens „deVixor“ stiehlt Bankdaten und sperrt Geräte. Sicherheitsexperten warnen vor dieser hybriden Bedrohung, die seit Oktober 2025 aktiv ist und gezielt iranische Nutzer angreift. Der Trojaner hat sich zu einem vollwertigen Fernzugriffswerkzeug entwickelt.
So greift die Doppelstrategie der Malware
„deVixor“ agiert in zwei Phasen. Zuerst stiehlt er als Banking-Trojaner sensible Daten:
* Er fängt Anmeldedaten in Banking-Apps per WebView-Injection ab.
* Er durchsucht den SMS-Verlauf nach Einmalpasswörtern und Kontoinformationen.
Im zweiten Schritt kann der Angreifer das infizierte Gerät remote sperren. Eine Lösegeldforderung in Kryptowährung erscheint auf dem Bildschirm – reine Erpressung.
Köder mit Autos: So verbreitet sich der Schädling
Die Malware gelangt über Phishing-Webseiten auf die Handys. Diese geben sich als Automobilhändler aus und locken mit unrealistischen Rabatten. Das Opfer lädt eine schädliche APK-Datei herunter und erteilt ihr weitreichende Berechtigungen, darunter Zugriff auf SMS und die Android-Bedienungshilfen.
Viele Android-Nutzer unterschätzen genau die Lücken, die Banking‑Trojaner wie „deVixor“ ausnutzen — gefälschte APKs, zu weitreichende Berechtigungen, SMS‑Diebstahl und Steuerung über Dienste wie Firebase oder Telegram. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android: sichere App‑Quellen, Berechtigungs‑Checks, SMS‑Sicherheit, empfohlene Schutz-Apps und regelmäßige Updates. Mit praktischen Schritt‑für‑Schritt-Anleitungen und Checklisten, damit Sie Online‑Banking und persönliche Daten zuverlässig schützen. Jetzt das Android-Sicherheitspaket sichern
Die Angreifer nutzen eine moderne Infrastruktur:
* Google Firebase zur Steuerung der infizierten Geräte.
* Telegram-Bots für die zentrale Verwaltung der Kampagne.
Dieser Aufbau macht die Malware agil und schwer zu verfolgen.
Spionage und Tarnung: Der Trojaner will bleiben
Über den Finanzdiebstahl hinaus spioniert „deVixor“ umfassend. Er liest Kontakte, protokolliert Tastatureingaben und kann heimlich SMS versenden. Um auf dem Gerät zu überdauern, startet er sich nach jedem Neustart neu und tarnt sich als harmlose App wie YouTube. Er versucht sogar, Google Play Protect zu deaktivieren.
Sicherheitsforscher von Cyble haben bereits über 700 Varianten analysiert – ein Zeichen für eine aktive, sich ständig weiterentwickelnde Bedrohung.
Im Trend: Immer mehr Malware mischt die Angriffsarten
„deVixor“ ist Teil eines beunruhigenden Trends. Cyberkriminelle kombinieren verschiedene Angriffsmethoden, um ihren Profit zu steigern. Die Fusion von Banking-Trojaner und Ransomware stellt eine neue Qualität dar. Ähnliche hybride Ansätze zeigten bereits Malware-Familien wie „Hook“ und „RatOn“.
Die Angreifer reagieren damit auf bessere Sicherheitsvorkehrungen der Banken. Ihr Ziel: das Opfer mehrfach ausnehmen und unter Druck setzen.
Wie können sich Nutzer schützen?
Die Bedrohung wird sich voraussichtlich weiter verfeinern und ausbreiten. Für Android-Nutzer sind daher grundlegende Sicherheitsregeln entscheidend:
* Apps ausschließlich aus dem offiziellen Google Play Store installieren.
* Bei „zu guten“ Angeboten äußerst misstrauisch sein.
* App-Berechtigungen kritisch prüfen und verdächtige Anfragen ablehnen.
* Eine aktuelle mobile Sicherheitslösung verwenden.
* Das Betriebssystem und alle Apps regelmäßig updaten.
