4 verbreitet sich rasant und zielt gezielt auf Krypto- und Banking-Apps ab.**
Seit Anfang Mai 2026 beobachten Sicherheitsexperten eine deutliche Zunahme der Verbreitung des G700 Remote Access Trojan (RAT) in der Version 6.4. Die hochentwickelte Schadsoftware, die als Nachfolger des berüchtigten Craxs RAT gilt, kursiert in Untergrundforen und verschlüsselten Messengerdiensten. Ihr Hauptziel: Android-Nutzer mit Fokus auf Kryptowährungen und Banking-Anwendungen.
Die neueste Version verfügt über erweiterte Fähigkeiten, um selbst die aktuellsten Sicherheitsupdates mobiler Betriebssysteme zu umgehen – einschließlich des kürzlich veröffentlichten Android 16.
Angesichts hochmoderner Trojaner, die gezielt Banking-Apps angreifen, ist ein grundlegender Schutz Ihres Geräts wichtiger denn je. Dieser gratis PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Vom Spionage-Tool zum Finanz-Kit
Der G700 RAT ist eine direkte Weiterentwicklung des Craxs RAT, der wiederum auf den Quellcodes von Spymax und SpyNote basiert. Ursprünglich von einem als „EVLF“ bekannten Entwickler aus Syrien stammend, markiert die Umbenennung zu G700 einen technischen Quantensprung: Aus einfacher Überwachungssoftware wurde ein multifunktionales Werkzeug für Finanzdelikte.
Die Malware kombiniert C## für die Desktop-basierte Kommandozentrale mit Java für die schädlichen Android-Pakete (APKs). In den letzten Monaten setzt sie verstärkt auf komplexe Verschleierungstechniken wie Base64-Kodierung und mehrschichtige APK-Verschlüsselung, um herkömmliche Antivirensoftware auszutricksen.
Einmal installiert, verschafft sich der Trojaner vollständigen Zugriff auf das Gerät: Bildschirmaufzeichnung in Echtzeit, Aktivierung von Mikrofon und Kamera sowie voller Dateisystemzugriff. Die Angreifer können so jede Interaktion des Opfers mitverfolgen – von privaten Nachrichten bis zur Eingabe sensibler Finanzdaten.
Automatische Umgehung von Android 16-Sperren
Besonders alarmierend: Der G700 RAT 6.4 kann die Zugänglichkeitsdienste (Accessibility Service) von Android automatisch umgehen. Google hatte in Android 16 die Hürden für genau diese Dienste verschärft, um Malware den Zugriff auf die Geräteoberfläche zu erschweren.
Die Schadsoftware nutzt einen ausgeklügelten Exploit, der ihr diese kritischen Berechtigungen ohne Zutun oder Zustimmung des Opfers verschafft. Die Methode funktioniert auf allen gängigen Android-Oberflächen – von Samsungs One UI über Xiaomis MIUI und HyperOS bis zu OnePluss OxygenOS.
Durch die Kontrolle über den Accessibility Service kann die Malware Bildschirminhalte abfangen, Benachrichtigungen auslesen und sogar Benutzereingaben simulieren, um Transaktionen zu autorisieren.
Ein spezieller „Screen Reader“-Modus umgeht zudem die Schwarzschutz-Funktionen von Banking- und Krypto-Apps. Diese Schutzmechanismen sollen verhindern, dass Drittanwendungen sensible Daten bei Anmeldungen oder Transaktionen erfassen. Der G700 RAT macht sie wirkungslos und erlaubt Angreifern, Wallet-Inhalte von Trust Wallet, MetaMask, Binance und Coinbase in Echtzeit auszulesen.
Perfide Social-Engineering-Kampagnen
Die aktuelle Welle von G700-Infektionen fällt mit neuen Social-Engineering-Taktiken zusammen. Eine besonders perfide Methode namens „ClickFix“ wurde in dieser Woche beobachtet: Nutzer erhalten gefälschte Sicherheitsfehler oder CAPTCHA-Abfragen, die angeblich ein Problem mit dem Gerät oder Browser beheben sollen. Statt eines Downloads werden die Opfer angewiesen, manuell einen Befehl zu kopieren und auszuführen – der die Malware installiert.
Die Verbreitung des G700 RAT 6.4 erfolgt dezentral über Telegram-Kanäle und spezialisierte Darknet-Marktplätze. Angreifer erstellen gefälschte Google-Play-Seiten oder tarnen die Schadsoftware als legitime Sicherheits-Tools. Einmal ausgeführt, installiert die Malware einen persistenten Zugriffsmechanismus, der selbst nach einem Neustart aktiv bleibt.
Neben klassischem Passwortdiebstahl ermöglicht der Trojaner sogenannte „Ghost Tap“-Angriffe: Dabei werden per SMS zugestellte Einmalpasswörter (OTPs) abgefangen und die Zwischenablage manipuliert. Kopiert ein Nutzer eine Krypto-Wallet-Adresse, ersetzt die Malware diese unbemerkt durch eine Adresse der Angreifer.
Da Kriminelle immer raffiniertere Methoden nutzen, um Sicherheitslücken in Android-Systemen auszunutzen, sollten Nutzer ihre Update-Strategie überdenken. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Einstellungen Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen
Malware als Abo-Modell
Die Kommerzialisierung des G700 RAT 6.4 zeigt die zunehmende Professionalisierung der mobilen Cyberkriminalität. In Untergrundforen wie „blackhatrussia“ wird das Werkzeug in einem abgestuften Abonnementmodell angeboten:
- Ein Monat Zugriff: rund 280 Euro
- Lebenslange Lizenz: rund 2.050 Euro
Die Pakete enthalten nicht nur die Malware selbst, sondern auch Zugang zu einem zentralen Dashboard für Echtzeit-Überwachung und Payload-Verwaltung. Treuhanddienste in den Foren geben den Käufern zusätzliche Sicherheit.
Sicherheitsfirmen beobachten zudem, dass der G700 RAT zunehmend mit anderen Schadwerkzeugen wie Informationsdieben und sogar Ransomware gebündelt wird. Diese Modularität erlaubt es Angreifern, ihre Attacken je nach Zielwert anzupassen: Bei einem vermögenden Krypto-Nutzer setzen sie auf langfristige Überwachung, bei einem Unternehmensgerät auf Datendiebstahl gefolgt von Erpressungssoftware.
Schutzmaßnahmen für Nutzer
Angesichts der automatisierten Berechtigungsumgehungen und Bildschirmauslesefähigkeiten des G700 RAT 6.4 stoßen herkömmliche mobile Schutzmaßnahmen oft an ihre Grenzen. Die Malware arbeitet lautlos im Hintergrund, ohne spürbare Leistungseinbußen oder Systemwarnungen.
Sicherheitsexperten empfehlen:
- Ausschließlich offizielle App-Stores nutzen und keine APK-Dateien von Drittanbieter-Webseiten oder aus Nachrichten installieren
- Regelmäßige Überprüfung der Zugänglichkeitsdienste in den Systemeinstellungen und Entfernen verdächtiger Berechtigungen
- Umstellung auf hardwarebasierte Sicherheitsschlüssel und App-basierte Authentifikatoren statt SMS-OTPs
Banken und Kryptoplattformen sind aufgefordert, ihre Multi-Faktor-Authentifizierung zu verstärken. Die Bedrohungslage bleibt auch Anfang Mai 2026 hoch – Experten erwarten weitere Varianten und Updates der Schadsoftware.
