Sicherheitsforscher haben eine hochentwickelte Android-Schadsoftware entdeckt, die Angreifern die vollständige Kontrolle über infizierte Mobilgeräte ermöglicht. Der Trojaner namens BTMOB hat sich von einer regionalen Bedrohung zu einem globalen Malware-as-a-Service-Angebot entwickelt und senkt die technischen Hürden für Cyberkriminelle drastisch.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Vom brasilianischen Ursprung zur weltweiten Gefahr
Erstmals im Frühjahr 2025 in Brasilien beobachtet, wurde BTMOB seither zu einem mächtigen Werkzeug für Datendiebstahl und Fernzugriff verfeinert. Die Malware entstammt der SpySolr-Familie, die bereits Anfang 2025 dokumentiert wurde. Cybersicherheitsexperten von ESET und anderen Firmen berichten, dass der Trojaner Angreifern umfassenden Zugriff auf infizierte Geräte gewährt – inklusive der Möglichkeit, Aktivitäten aufzuzeichnen, Bildschirmfotos zu erstellen und sensible Nutzerdaten abzugreifen.
Die aktuelle Version 2.5 wurde bereits im Frühjahr 2026 in freier Wildbahn entdeckt.
So funktioniert der heimliche Zugriff
Das zentrale Einfallstor: Die Malware missbraucht die Android Accessibility Services. Trickst sie den Nutzer dazu, diese Berechtigungen zu gewähren, erhält sie erweiterte Rechte. Fortan kann der Trojaner mit anderen Apps interagieren und Aktionen im Namen des Nutzers ausführen – völlig unbemerkt.
Kriminelles Geschäftsmodell auf dem Darknet
Die Entwickler haben BTMOB kommerzialisiert und bieten es auf Darknet-Foren als Dienstleistung an. Für eine lebenslange Lizenzgebühr von umgerechnet rund 4.600 Euro – in manchen Fällen plus monatlicher Zusatzgebühr – erhalten Käufer Zugang zu einem No-Code-APK-Baukasten. Selbst technisch unerfahrene Kriminelle können damit maßgeschneiderte Schadsoftware erstellen.
Obwohl Versionen der Malware im Januar 2026 auf Darknet-Foren durchsickerten, bietet der offizielle Dienst weiterhin Vorlagen für verschiedene Phishing-Kampagnen an.
Die perfiden Verbreitungswege
Angreifer verteilen BTMOB typischerweise über betrügerische Websites, die legitime Dienste imitieren. Besonders häufig genutzt werden:
- Gefälschte Streaming-Plattformen wie Tubi TV oder andere OTT-Dienste
- Kryptowährungs-Apps
- Portale von Steuerbehörden – mit spezifischen Kampagnen, die zuletzt argentinische Steuerzahler ins Visier nahmen
Sicherheitssignaturen für die Bedrohung wurden unter Namen wie Android/Spy.Agent und MSIL/BtmobRat identifiziert. Zu den Indikatoren für Kompromittierung zählen die Domain arbsniper[.]com sowie Dutzende IP-Adressen und SHA256-Hashes.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, die solche Sicherheitslücken gezielt für den Datenklau ausnutzen. Experten verraten, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. 5 einfache Schritte für ein sicheres Android-Smartphone
Reale Schäden: Familie verliert Tausende Euro
Die konkreten Folgen von BTMOB-Infektionen sind dokumentiert. Erst Anfang Mai verlor eine Familie im indischen Bhavnagar umgerechnet rund 1.300 Euro, nachdem sie eine betrügerische Streaming-App aus sozialen Medien heruntergeladen hatte.
Die Familie installierte am 5. Mai eine gefälschte Tubi-TV-App. Fünf Tage später hatten Angreifer über die Malware Zugriff auf die Mobilgeräte erlangt und Konten geplündert: Ein Familienmitglied verlor umgerechnet rund 560 Euro, ein weiteres rund 750 Euro.
Schutzmaßnahmen für Android-Nutzer
Cybersicherheitsexperten raten dringend:
- Apps ausschließlich aus offiziellen Quellen wie dem Google Play Store installieren
- Sideloading von Drittanbieter-Quellen vermeiden
- Misstrauisch sein bei Aufforderungen, Accessibility Services für unbekannte Apps zu aktivieren
- Mobile Sicherheitslösungen mit Verhaltenserkennung einsetzen, die die heimlichen Aktivitäten solcher Fernzugriffs-Trojaner identifizieren können
