Sicherheitsforscher schlagen Alarm: Eine neue Generation von Android-Schadsoftware nutzt die Beliebtheit von IPTV-Apps, um Bankkonten zu plündern und Geräte zu kapern.
Die Angriffswelle, die Ende April 2026 von den Cybersicherheitsfirmen Zimperium und Cleafy dokumentiert wurde, zielt gezielt auf Nutzer, die nach günstigen Streaming-Alternativen suchen. Steigende Abopreise legaler Dienste treiben Verbraucher in die Arme von Kriminellen, die mit vermeintlich kostenlosen IPTV-Apps ködern. Was zunächst wie ein harmloser Media-Player aussieht, entpuppt sich als hochentwickelte Schadsoftware: Sie stiehlt Finanzdaten, zeichnet Tastatureingaben auf und macht infizierte Smartphones zu Teil eines kriminellen Botnetzes.
Angesichts der raffinierten Methoden, mit denen Hacker heutzutage Android-Smartphones für Online-Banking und PayPal ausspionieren, ist ein proaktiver Schutz unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät wirksam gegen Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Massiv und Co.: Wenn das Handy in fremde Hände gerät
Die Forscher von Zimperiums zLabs identifizierten vier neue Malware-Familien – RecruitRat, SaferRat, Astrinox und Massiv – die durch raffinierte Verschleierungstechniken die klassische Virenerkennung umgehen. Besonders besorgniserregend ist Massiv: Diese Schadsoftware ist auf „Device Takeover“ (DTO) spezialisiert. Anders als ältere Trojaner, die nur Daten abgreifen, übernimmt Massiv die totale Kontrolle über das infizierte Gerät.
Der Verbreitungsweg ist perfide: Die App tarnt sich als legitimer IPTV-Streaming-Dienst. Nach der Installation – meist aus inoffiziellen Quellen – fordert sie umfassende Berechtigungen, insbesondere für die Android-Barrierefreiheitsdienste (Accessibility Services). Wer diese gewährt, öffnet den Angreifern Tür und Tor. Massiv erkennt, wann der Nutzer eine Banking- oder Krypto-App öffnet, und legt eine täuschend echte HTML-Overlay-Seite darüber – eine gefälschte Login-Maske, die Zugangsdaten und Zwei-Faktor-Codes abfängt.
Aktuell zielt Massiv auf 78 verschiedene Banking- und Krypto-Wallet-Apps. Sein Verwandter RecruitRat hat mit über 700 betroffenen Anwendungen eine noch größere Reichweite. Das Schlimmste: Die Angreifer können den Bildschirm in Echtzeit mitverfolgen. Selbst wenn kein passendes Overlay bereitsteht, beobachten sie einfach, was der Nutzer eintippt.
Mirax: Sport-Streaming als Köder auf Facebook und Instagram
Parallel dazu entdeckten die Sicherheitsexperten von Cleafy eine Kampagne mit dem Remote-Access-Trojaner (RAT) Mirax. Dieser zielt gezielt auf spanischsprachige Nutzer und nutzt aggressive Werbung auf Facebook und Instagram. Die Anzeigen versprechen kostenlosen Zugang zu Premium-Sportstreaming – ein verführerisches Angebot.
Die Kampagne ist hochprofessionell organisiert. Cleafy zufolge erreichten die Schad-Anzeigen über 200.000 Konten. Wer darauf klickt, landet auf einer Seite, die prüft, ob der Besucher ein mobiles Endgerät nutzt – ein Trick, um Sicherheitsscanner und Forscher mit Desktop-Umgebungen auszusperren.
Nach der Installation durchläuft Mirax einen mehrstufigen Infektionsprozess. Es nutzt die „GoldCrypt“-Verschlüsselung, um seine eigentliche Schadsoftware zu verbergen, die in tief verschachtelten, verschleierten Ordnerpfaden liegt. Die App tarnt sich als normaler Videoplayer, während sie im Hintergrund eine Verbindung zu einem Kommando-Server aufbaut. Besonders tückisch: Mirax rekrutiert das infizierte Gerät in ein Botnetz aus Wohn-IP-Adressen. Die Angreifer leiten ihren eigenen Datenverkehr über die IP-Adresse des Opfers um – für die Strafverfolgung wird es dadurch nahezu unmöglich, die illegale Aktivität zurückzuverfolgen.
Perseus: Spionage in der Notizen-App
Während die meisten neuen Bedrohungen auf finanziellen Gewinn abzielen, zeigt ein anderer Fund eine beunruhigende Entwicklung hin zur persönlichen Spionage. Die Sicherheitsfirma ThreatFabric entdeckte einen Schadling namens Perseus, der sich ebenfalls in IPTV- und Raubkopien-Apps tarnt. Neben den üblichen Banking-Trojaner-Funktionen hat Perseus ein einzigartiges, äußerst invasives Ziel: Notiz-Apps.
Perseus durchsucht infizierte Geräte gezielt nach Apps wie Google Keep, Evernote oder Simple Notes. Findet es sie, extrahiert es deren Inhalte. Das ist besonders gefährlich, weil Nutzer in digitalen Notizen oft höchst sensible Informationen speichern: Wiederherstellungsphrasen für Krypto-Wallets, PIN-Codes oder Privatadressen. Mit diesen „weichen“ Daten können Angreifer Identitätsdiebstahl oder langfristige Social-Engineering-Kampagnen durchführen, die weit über den sofortigen finanziellen Diebstahl hinausgehen.
Perseus baut auf dem durchgesickerten Quellcode älterer Trojaner wie Cerberus auf, kombiniert ihn aber mit modernen Tarnmethoden. Die Hauptziele dieser Kampagne waren bisher Nutzer in der Türkei und Italien – ein Zeichen dafür, dass Malware-Entwickler ihre Methoden zunehmend auf bestimmte Regionen und Sprachen zuschneiden.
Die Mobilfunk-Kriminalität boomt
Die aktuelle Welle ist Teil eines übergreifenden Trends. Daten von Sicherheitsfirmen wie Zscaler und Malwarebytes zeigen, dass 2025/2026 für Cyberkriminelle zum „Jahr der Abrechnung“ wird. Sie haben sich von lauter, auffälliger Adware hin zu leisen, datensammelnden Schadprogrammen entwickelt.
Zscaler meldete einen Anstieg der Android-Malware-Angriffe um 67 Prozent im Jahresvergleich. Allein im Zeitraum 2024/2025 wurden über 42 Millionen schädliche Apps aus dem Google Play Store heruntergeladen, bevor sie entdeckt und entfernt wurden. Google hat seine Play-Protect-Bemühungen zwar verstärkt, doch die Angreifer kontern mit „Dropper“-Apps: Harmlos wirkende Tools wie Dokumentenleser oder Tastaturen, die ihre schädliche Fracht erst Tage oder Wochen nach der Installation herunterladen.
Da Kriminelle ständig neue Sicherheitslücken in Android-Systemen ausnutzen, sind regelmäßige Aktualisierungen lebensnotwendig für Ihre Datensicherheit. Erfahren Sie in diesem kostenlosen Report, wie Sie automatische Updates richtig nutzen und schädliche Apps rechtzeitig erkennen. Kostenlosen Android-Sicherheits-Report herunterladen
Besonders betroffen sind die Energie-, Fertigungs- und Transportbranche – hier stiegen die Angriffe um fast 400 Prozent. Analysten sehen den Grund im globalen Siegeszug des mobilen Bezahlens: Der Anreiz, spezialisierte Android-Malware zu entwickeln, war noch nie so hoch.
Schutz vor der unsichtbaren Gefahr
Experten erwarten, dass die Kommerzialisierung von „Malware-as-a-Service“ (MaaS) die Einstiegshürde für weniger versierte Angreifer weiter senken wird. Gleichzeitig werden hochprofessionelle Gruppen ihre Angriffe auf Nischen-Ziele konzentrieren. KI-gesteuertes Phishing und automatisierte Social-Media-Werbung werden die betrügerischen Streaming-Angebote in den kommenden Monaten noch überzeugender machen.
Cybersicherheitsbehörden empfehlen daher konkrete Schutzmaßnahmen:
- Nur offizielle App-Stores nutzen: Zwar schaffen es auch dort manchmal Schad-Apps durch die Prüfung, doch die überwältigende Mehrheit der Streaming-Trojaner wird über inoffizielle APK-Seiten oder Direktlinks in Social-Media-Anzeigen verbreitet.
- Barrierefreiheits-Berechtigungen prüfen: Seien Sie extrem misstrauisch bei jeder App – besonders bei Media-Playern oder Streaming-Tools – die „Barrierefreiheitsdienste“ anfordert. Das ist der Hauptmechanismus für Bildschirm-Overlays und Keylogging.
- Geräteverhalten beobachten: Ungewöhnlicher Akkuverbrauch, Überhitzung im Leerlauf oder unbekannte App-Icons sind oft die ersten Anzeichen eines Hintergrund-RAT oder Proxy-Dienstes.
- Angebote in sozialen Medien hinterfragen: Legitime Streaming-Dienste verteilen ihre Apps kaum über gesponserte Facebook- oder Instagram-Posts, die zu Drittanbieter-Download-Seiten führen.
Die Grenze zwischen Unterhaltung und Finanztransaktionen verschwimmt auf mobilen Geräten zunehmend. Das „kostenlose“ Angebot illegaler Streaming-Apps hat oft einen versteckten, weitaus höheren Preis – den Verlust der Privatsphäre und der finanziellen Sicherheit.
