Die Bedrohung für Online-Banking erreicht eine neue Stufe. Cyberkriminelle verlagern ihre Angriffe direkt auf die Smartphones der Nutzer und umgehen so Bank-Sicherheitssysteme. Das zeigt der aktuelle „Banking Heist Report“ des Sicherheitsunternehmens Zimperium.
Da Kriminelle ihre Angriffe gezielt auf Smartphones verlagern, wird der richtige Schutz des Mobilgeräts zur Grundvoraussetzung für sicheres Banking. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie Ihr Android-Gerät effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Mobile Schadsoftware verzeichnet drastischen Anstieg
Der Bericht dokumentiert einen alarmierenden Trend: Die Zahl der durch mobile Schadsoftware gesteuerten Finanztransaktionen ist im Vergleich zum Vorjahr um 67 Prozent gestiegen. Weltweit zielen 34 aktive Malware-Familien auf über 1.200 verschiedene Finanz-Apps.
Drei Trojaner dominieren derzeit den Markt: TsarBot, CopyBara und Hook sind für mehr als 60 Prozent der Angriffe verantwortlich. Ihre Taktik ist raffinierter geworden. Statt nur Passwörter zu stehlen, übernehmen sie die vollständige Kontrolle über das infizierte Gerät. Sie kapern Banking-Sitzungen und fangen SMS-Codes für die Zwei-Faktor-Authentifizierung in Echtzeit ab – oft völlig unbemerkt.
Trojaner „Perseus“ durchsucht Ihre Notizen
Eine konkrete neue Gefahr heißt „Perseus“. Dieser Android-Trojaner sucht gezielt in Notiz-Apps nach Passwörtern, PINs oder Wiederherstellungsschlüsseln. Viele Nutzer speichern dort genau diese sensiblen Daten.
Die Schadsoftware tarnt sich als nützliche App, etwa als IPTV-Player oder Sport-Streaming-Dienst. Sie wird über inoffizielle App-Stores verbreitet. Einmal installiert, missbraucht Perseus die Barrierefreiheits-Dienste von Android. So kann er Bildschirminhalte auslesen, Tastatureingaben protokollieren und Fernzugriffe erlauben. Die Entwicklung solcher Trojaner wird durch KI massiv beschleunigt.
Banken warnen vor SMS-Phishing und gefälschten Briefen
Heute haben mehrere Bankinstitute dringende Warnungen herausgegeben. Die Raiffeisenbank warnt vor einer Phishing-SMS-Welle. Die Nachrichten behaupten „ungewöhnliche Aktivitäten“ auf dem Konto und enthalten Links zu gefälschten Hilfe-Seiten. Kriminelle nutzen täuschend echte Domains wie „raiffeisen-at.help“.
Die Volksbanken melden eine ungewöhnliche Methode: Phishing per Briefpost. Kunden erhalten täuschend echte Schreiben, die zur Aktualisierung der „VR SecureGo plus“-App auffordern. Enthaltene QR-Codes führen nicht zum offiziellen App-Store, sondern auf manipulierte Webseiten. Auch die Verbraucherzentrale bestätigt verstärkte Phishing-Aktivitäten im Namen von Comdirect, Deutscher Bank und N26.
Warum herkömmliche Sicherheitssysteme oft versagen
Die Frontlinie des Betrugs hat sich endgültig auf das Mobilgerät verlagert. Früher stand die Sicherung der Bank-Server im Vordergrund. Heute ist die Integrität des Smartphones des Kunden der entscheidende Faktor.
Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, während Hacker gleichzeitig immer raffiniertere Lücken ausnutzen. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie eine häufig unterschätzte Sicherheitslücke schließen und Ihr Gerät zuverlässig schützen. Kostenlosen Sicherheits-Ratgeber herunterladen
Das Problem: Herkömmliche Betrugserkennungssysteme der Banken sind oft machtlos, wenn der Angriff auf einem vertrauenswürdigen Gerät des Kunden ausgeführt wird. Der Trojaner agiert dann mit den gleichen Rechten wie der legitime Nutzer. Das erfordert ein Umdenken – sowohl bei den Banken als auch bei den Verbrauchern.
KI macht Phishing-Angriffe fast perfekt
Für die kommenden Monate erwarten Sicherheitsexperten eine weitere Professionalisierung. KI-Modelle werden genutzt, um Phishing-Nachzen noch individueller und fehlerfreier zu gestalten. Die Zeit der leicht erkennbaren Betrugsmails mit Tippfehlern ist vorbei.
Stattdessen nutzen Kriminelle aktuelle Ereignisse oder Banken-Fusionen schneller als Aufhänger für ihre Kampagnen. Die Branche fordert daher eine „Zero-Trust“-Haltung für mobile Endgeräte. Die wichtigste Regel für Nutzer bleibt: Apps nur aus offiziellen Quellen beziehen und Banking-Transaktionen niemals über Links starten, die per SMS oder E-Mail kommen.
