Sicherheitsforscher haben eine großangelegte Android-Malware-Kampagne aufgedeckt, die mit rund 250 gefälschten Apps heimlich Geld von Nutzern abgebucht hat. Die als „Premium Deception“ bekannte Operation war fast ein Jahr aktiv – vom Frühjahr 2025 bis Anfang 2026. Die Experten von Zimperium zLabs veröffentlichten ihre Erkenntnisse diese Woche und zeigen damit, wie raffiniert mobile Abofallen inzwischen geworden sind.
Der aktuelle Malware-Fall zeigt, wie leicht Kriminelle durch gefälschte Apps Zugriff auf Ihr Geld erlangen können. In diesem kostenlosen Ratgeber erfahren Sie, mit welchen 5 Sofort-Maßnahmen Sie Ihr Android-Smartphone effektiv vor solchen Abofallen und Viren schützen. 5 Schutzmaßnahmen für Android-Smartphones jetzt kostenlos sichern
Tarnung als Facebook, TikTok und Minecraft
Die betrügerischen Apps gaben sich als beliebte Social-Media-Plattformen und Spiele aus – darunter Facebook, Instagram, TikTok, Minecraft und Grand Theft Auto. Im Visier standen vor allem Nutzer in Malaysia, Thailand, Rumänien und Kroatien. Die Täter setzten auf lokale Anpassungen, um ihre Abofallen möglichst effektiv zu machen.
Besonders perfide: Installierte ein Nutzer eine der Fake-Apps, prüfte die Schadsoftware zunächst den Mobilfunkanbieter. War dieser nicht auf der Zielliste, zeigte die App lediglich eine harmlose Webseite an. So tarnte sie ihre bösartige Absicht – selbst vor automatischen Sicherheitsscans.
In den Zielregionen hingegen startete die Malware eine komplexe Abfolge, um Nutzer ohne deren Wissen in kostenpflichtige SMS-Dienste einzubuchen. In Malaysia etwa identifizierten die Forscher automatisierte Abo-Prozesse über bestimmte lokale Telekommunikationsanbieter. Mindestens 12 Kurzwahlnummern für Premium-SMS kamen dabei zum Einsatz. Die Angreifer nutzten zudem HTTP-Referrer-Tracking, um die Effektivität ihrer Verteilungskanäle zu analysieren und ihre Strategie laufend zu optimieren.
Drei Varianten, ein Ziel: das Geld der Opfer
Die technische Infrastruktur von „Premium Deception“ umfasste drei verschiedene Malware-Varianten, die jeweils unterschiedliche Methoden einsetzten.
Die erste Variante kombinierte WebView und JavaScript, um den Abo-Prozess automatisiert im Hintergrund abzuwickeln. Die Opfer bemerkten die Abbuchungen meist erst, wenn die monatliche Handyrechnung kam.
Die zweite, weiterentwickelte Variante zielte darauf ab, Sicherheitsmechanismen wie Einmalpasswörter (OTPs) zu umgehen. Sie nutzte die Google SMS Retriever API aus, um die Bestätigungs-SMS der Mobilfunkanbieter abzufangen. Damit wurde die Sicherheitshürde, die eigentlich den Menschen in den Prozess einbinden soll, einfach übergangen.
Die dritte Variante ging noch weiter: Sie stahl zusätzlich Browser-Cookies und meldete die gesammelten Daten über Telegram-Kanäle an die Angreifer zurück.
Die Kommando- und Kontrollserver (C2) der Kampagne liefen unter anderem auf den Domains modobomz[.]com und mwmze[.]com. Von dort erhielten die infizierten Geräte dynamische Anweisungen – die Angreifer konnten ihre Ziele und Methoden aktualisieren, ohne dass die Nutzer die Apps neu installieren mussten.
Ein herausforderndes Sicherheitsumfeld
Die Enthüllung von „Premium Deception“ fällt in eine Woche voller Sicherheitswarnungen. Microsoft hat zwei kritische Zero-Day-Lücken in seiner Defender-Software geschlossen, die bereits aktiv ausgenutzt wurden. Die Schwachstellen CVE-2026-41091 und CVE-2026-45498 betreffen Rechteausweitung und Denial-of-Service. Die US-Behörde CISA hat beide am 21. Mai in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und Bundesbehörden verpflichtet, die Patches bis Anfang Juni einzuspielen.
Auch Webadministratoren sind in Alarmbereitschaft: Im Drupal-Core wurde eine „hochkritische“ SQL-Injection-Lücke entdeckt. Der Fehler CVE-2026-9082, der am 20. Mai veröffentlicht wurde, betrifft Seiten mit PostgreSQL-Datenbanken. Es ist die erste Schwachstelle dieser Schwere für die Plattform seit rund sieben Jahren.
Die Sicherheitsforscher von Barracuda identifizierten zudem ein Schreckenstool namens CypherLoc, das seit Anfang 2026 Millionen Nutzer attackiert. Es setzt auf „Eingefrorener-Bildschirm“-Betrug, um Browser zu blockieren und Opfer unter Druck zu setzen, gefälschte Support-Hotlines anzurufen.
Mobile Sicherheit: Ein wachsendes Problem
Das Ausmaß von „Premium Deception“ zeigt, wie stark Cyberkriminalität inzwischen die Geldbörsen der Verbraucher trifft. In Australien etwa wurden im Zeitraum 2024/25 rund 84.000 Cybercrime-Fälle registriert – mit Gesamtkosten von umgerechnet etwa 1,3 Milliarden Euro.
Branchenexperten sehen den Missbrauch legitimer APIs wie der Google SMS Retriever API als wachsende Herausforderung. Wenn Angreifer Standardfunktionen in Werkzeuge für Betrug verwandeln, können sie Sicherheitsabfragen umgehen, denen Nutzer vertrauen. Die Nutzung von Telegram für die Echtzeit-Kommunikation mit den Angreifern spiegelt zudem einen Trend zu verschlüsselten, weit verbreiteten Plattformen für die C2-Infrastruktur wider – das erschwert den Behörden die Arbeit erheblich.
Ein veraltetes System macht es Kriminellen besonders leicht, Sicherheitsabfragen zu umgehen und Ihr Gerät als „offene Haustür“ für Malware zu nutzen. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Sicherheitslücken dauerhaft schließen. Gratis Android-Update-Ratgeber herunterladen
Die International Cybersecurity Challenge, die am 20. und 21. Mai an Australiens Gold Coast stattfand, zeigt, wie dringend die Branche Nachwuchs braucht. Über 100 Studierende aus aller Welt traten dort in ethischen Hacking-Wettbewerben gegeneinander an.
Was Nutzer jetzt tun sollten
Für Verbraucher ist „Premium Deception“ ein Weckruf. Die Kampagne zeigt, wie riskant das Herunterladen von Apps aus inoffiziellen Quellen oder das Klicken auf dubiose Werbung für beliebte Spiele und Dienste sein kann.
Sicherheitsexperten empfehlen:
– Regelmäßig die Handyrechnung auf unberechtigte Abbuchungen prüfen
– Nur Apps aus offiziellen Stores installieren
– Misstrauisch bei Apps sein, die übermäßige Berechtigungen für SMS oder Systemeinstellungen verlangen
– Keine Werbung für „kostenlose“ Premium-Versionen bekannter Spiele anzuklicken
Die Abschaltung der „Premium Deception“-Infrastruktur Anfang 2026 verschafft zwar eine vorübergehende Entlastung. Doch die dabei entwickelten Techniken – automatisierte Abo-Tools und dynamische C2-Anweisungen – werden mit hoher Wahrscheinlichkeit von künftigen Betrugsoperationen übernommen. Der Kampf gegen mobile Malware wird sich daher weiter in Richtung Verhaltensanalyse und Echtzeit-Bedrohungserkennung verlagern.
