Banking-Trojaner: 100.000 Nutzer laden Anatsa aus Google Play

Schadsoftware Anatsa tarnt sich als Dokumenten-App und stiehlt Bankdaten. Gefälschte Login-Seiten und 2FA-Abfang gefährden Konten.

Mehr als 100.000 Nutzer haben einen Banking-Trojaner aus dem offiziellen Google Play Store geladen. Die App tarnt sich als harmloser Dokumentenbetrachter.

Sicherheitsexperten schlagen Alarm: Die Schadsoftware namens Anatsa umgeht die Sicherheitsprüfungen von Google durch ein mehrstufiges Infektionsverfahren. Ihr Ziel: sensible Finanzdaten der Nutzer.

So funktioniert der Betrug

Nach der Installation verhält sich die App zunächst unauffällig und bietet tatsächlich die beworbenen Funktionen. Erst in einem zweiten Schritt laden die Angreifer bösartige Komponenten nach.

Der Trojaner fordert weitreichende Berechtigungen für die Barrierefreiheitsdienste (Accessibility Services) ein. Das erlaubt ihm, den Bildschirm zu überwachen und Tastatureingaben aufzuzeichnen.

Die Masche ist perfide: Die Software blendet gefälschte Login-Fenster über legitimen Banking-Apps ein. So greifen die Angreifer Anmeldedaten in Echtzeit ab. Zudem fängt die Schadsoftware SMS-Nachrichten und Codes für die Zwei-Faktor-Authentisierung (2FA) ab – der Vollzugriff auf Bankkonten ist damit möglich.

Weitere Kampagnen im Umlauf

Parallel zu den Play-Store-Vorfällen beobachten Analysten spezialisierte Angriffe. Der Ousaban-Trojaner zielt seit Anfang Juli verstärkt auf Nutzer in Spanien und Portugal ab. Dabei nutzen die Angreifer server-seitiges Geofencing, um gezielt Opfer zu identifizieren und Sicherheitsforscher auszuschließen. Die Infektion erfolgt meist über Phishing-Dokumente mit verstecktem JavaScript-Code.

Anzeige

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne gezielte Schutzvorkehrungen ist das ein großes Risiko für Ihr Vermögen. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

In Indien warnten Behörden vor einer gefälschten Belohnungs-App eines großen Finanzinstituts. Nutzer werden per SMS oder Messenger-Diensten dazu verleitet, eine präparierte Installationsdatei (APK) herunterzuladen. Solche Dateien umgehen die Sicherheitsmechanismen offizieller App-Stores vollständig.

Identitätsdiebstahl als wachsende Gefahr

Ein aktueller Branchenbericht zeigt die Tragweite der Entwicklung: In den letzten drei Jahren waren weltweit 69 Prozent der Organisationen von Sicherheitsverletzungen betroffen, die auf kompromittierte Identitäten zurückgehen. In Deutschland liegt der Wert mit 75 Prozent sogar noch höher. Die Schäden pro Vorfall bewegen sich hierzulande zwischen fünf und zehn Millionen US-Dollar.

Erst in den vergangenen Tagen wurde mit „JadePuffer“ ein Fall dokumentiert, bei dem ein autonomer KI-Agent Ransomware-Angriffe auf Cloud-Umgebungen durchführte. Die Angreifer nutzten bekannte Schwachstellen wie CVE-2025-3248, um API-Schlüssel zu entwenden und Daten zu verschlüsseln.

So schützen Sie sich

Anzeige

Da allein in Deutschland pro Quartal Millionen Online-Konten gehackt werden, empfehlen Experten den Wechsel auf sicherere Anmeldeverfahren ohne klassische Passwörter. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Diensten wie WhatsApp oder Amazon einrichten und sich so vor Datenklau schützen. Kostenlosen Passkey-Report jetzt herunterladen

Experten raten, die angeforderten Berechtigungen von Apps kritisch zu prüfen. Besonders der Zugriff auf Bedienungshilfen sollte bei einfachen Werkzeug-Apps misstrauisch machen. Für Unternehmen empfiehlt sich die Umstellung auf phishing-resistente Authentifizierungsverfahren wie den FIDO2-Standard.

Auch im physischen Raum lauern Gefahren: Auf Mallorca warnte die Polizei zuletzt vor „QRishing“. Kriminelle überkleben QR-Codes auf Speisekarten oder Parkautomaten und leiten Nutzer auf täuschend echte Phishing-Seiten. Ziel ist auch hier der Abgriff von Kreditkartendaten.