Eine bislang unbekannte Schadsoftware nutzt die Verbindung zwischen Windows-PC und Smartphone aus, um sensible Daten abzugreifen. Der CloudZ-Trojaner umgeht dabei sogar Zwei-Faktor-Authentifizierungen.
Cybersicherheitsforscher von Cisco Talos haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die seit Januar 2026 aktiv ist. Das Herzstück: ein modularer Remote Access Trojan (RAT) namens CloudZ, der über ein spezielles Plugin namens Pheno die Microsoft-Phone-Link-Anwendung angreift. Diese Windows-Funktion spiegelt Benachrichtigungen, Nachrichten und Anrufe vom Smartphone auf den PC – genau diese Datenbrücke nutzen die Angreifer.
Da Trojaner wie CloudZ gezielt die Schnittstelle zwischen PC und Handy angreifen, ist ein umfassender Basisschutz für Ihr Mobilgerät wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort effektiv gegen Hacker absichern. 5 Schutzmaßnahmen jetzt kostenlos entdecken
Wie der Pheno-Plugin-Angriff funktioniert
Das Pheno-Plugin durchsucht das infizierte System permanent nach aktiven Phone-Link-Prozessen. Sobald eine Verbindung zwischen PC und Smartphone erkannt wird, kapert der Trojaner die Datenverbindung. Anders als bei klassischen Sicherheitslücken nutzt CloudZ keine spezifische Schwachstelle mit CVE-Kennung, sondern missbraucht legitime Windows-Funktionen und das Vertrauensverhältnis zwischen den Geräten.
Die Malware zielt auf die SQLite-Datenbankdateien von Phone Link ab, die lokal auf dem PC gespeichert werden. Diese Dateien mit Namen wie „PhoneExperiences-.db“ enthalten alle gespiegelten Informationen. In Echtzeit kann CloudZ so eingehende SMS und Benachrichtigungen abfangen – besonders gefährlich für Einmalpasswörter (OTPs)*, die per SMS oder über Authenticator-Apps auf dem Desktop landen.
Angriffsvektor verlagert sich auf den Desktop
Die CloudZ-Kampagne zeigt einen strategischen Wandel in der Cyberkriminalität. Bisher versuchten Angreifer, SMS-basierte Authentifizierungscodes über SIM-Swapping oder Handy-Malware abzugreifen. Da mobile Betriebssysteme immer sicherer werden, verlagern sich die Angriffe nun auf die Desktop-Seite.
Der Clou: Die Malware umgeht die Zwei-Faktor-Authentifizierung (2FA), ohne jemals das physische Smartphone oder dessen Betriebssystem zu berühren. Ein infizierter Windows-PC wird zur Hintertür in die mobile Kommunikation des Opfers.
CloudZ selbst ist ein .NET-basierter Executable mit mehreren Schutzschichten. Es erkennt Debugger, Profiler und virtuelle Umgebungen – wird eine Analyse in der Sandbox vermutet, stellt die Malware ihre Aktivitäten ein oder verändert ihr Verhalten. Kritische Funktionen führt sie dynamisch im Arbeitsspeicher aus, um signaturbasierte Antivirenlösungen zu umgehen.
Gefälschte Software-Updates als Einfallstor
Die Infektion beginnt mit Social Engineering: Die Angreifer liefern ein gefälschtes Update für ConnectWise ScreenConnect, eine beliebte Remote-Desktop-Software. Wer die vermeintliche Aktualisierung ausführt, löst eine mehrstufige Infektionskette aus.
Um nicht auf gefälschte System-Meldungen hereinzufallen, ist das Wissen über den korrekten Umgang mit offiziellen Aktualisierungen entscheidend für Ihre digitale Sicherheit. Der kostenlose Experten-Report erklärt verständlich, wie Sie Android-Updates sicher anwenden und Datenverlust durch Schadsoftware zuverlässig verhindern. Kostenlosen Update-Ratgeber hier anfordern
Ein Rust-kompilierter Lader bringt einen zweiten .NET-Lader auf das System, der als harmlose Textdatei getarnt ist. Dieser prüft die Umgebung und installiert schließlich den CloudZ-RAT. Zur Persistenz erstellt die Malware geplante Aufgaben mit erhöhten Rechten und manipuliert Registry-Einträge.
Nach der Installation kontaktiert CloudZ einen Command-and-Control-Server (C2). Über PowerShell-Skripte werden Browser-Zugangsdaten und die abgefangenen Phone-Link-Datenbanken abgesaugt. Die Malware wechselt dabei regelmäßig ihre User-Agent-Strings, um ihren Datenverkehr als legitime Browser-Anfragen zu tarnen.
Schutzmaßnahmen und Ausblick
Bislang konnte die CloudZ-Kampagne keiner bekannten Gruppe zugeordnet werden – weder staatlich geförderten Hackern noch finanzmotivierten Banden. Die hochentwickelten Anti-Analyse-Funktionen deuten jedoch auf einen hochprofessionellen Betreiber hin.
Sicherheitsexperten empfehlen Unternehmen, SMS-basierte Einmalpasswörter wo möglich durch Hardware-Sicherheitsschlüssel oder Authenticator-Apps zu ersetzen, die nicht auf gespiegelte Benachrichtigungen angewiesen sind. Wo SMS-Authentifizierung unvermeidbar ist, sollten Endpoint Detection and Response (EDR)-Lösungen überwachen, ob unbefugte Zugriffe auf lokale Anwendungsdatenbanken stattfinden.
Microsoft hat Phone Link in der Vergangenheit bereits sicherer gemacht. Die CloudZ-Kampagne zeigt jedoch: Solange Daten gespiegelt und lokal gespeichert werden, bleiben sie ein Angriffsziel. Cisco Talos hat Erkennungssignaturen und Indikatoren veröffentlicht, um CloudZ-Infektionen zu identifizieren. Besondere Wachsamkeit gilt bei ungewöhnlichen PowerShell-Aktivitäten und nicht autorisierten geplanten Aufgaben.
