Eine neue Welle raffinierter Online-Banking-Angriffe bedroht Konten in ganz Europa. Der Android-Trojaner „Massiv“ übernimmt die vollständige Kontrolle über Smartphones und plündert Finanzkonten – und erschleicht sich sogar Identitäten für Kredite.
Cybersicherheitsforscher des Unternehmens ThreatFabric haben den Schädling aufgedeckt, der sich als harmlose Internet-Fernseh-App (IPTV) tarnt. Die ersten Attacken zielen auf Nutzer in Südeuropa, vor allem in Portugal und Griechenland. Massiv markiert eine gefährliche Entwicklung: Cyberkriminelle ködern ihre Opfer mit dem Versprechen auf kostenlose Streaming-Inhalte, um hochgefährliche Finanz-Malware zu verbreiten.
So dringt der Schädling in Smartphones ein
Die Infektion erfolgt typischerweise durch „Sideloading“. Dabei werden Nutzer dazu verleitet, Apps aus inoffiziellen Quellen außerhalb des Google Play Stores zu installieren. Getarnt als App für kostenlose TV-Streaming-Dienste, bittet die Malware nach der Installation um umfangreiche Berechtigungen. Gewährt der Nutzer diese, erhält Massiv mächtige Werkzeuge für den finanziellen Diebstahl.
Der Trojaner verfügt über ein ganzes Arsenal für Device-Takeover-Angriffe (DTO). Er kann den Bildschirm des Geräts live zum Angreifer streamen und umgeht so Sicherheitsvorkehrungen vieler Banking-Apps, die Screenshots blockieren. Zudem nutzt er Keylogger, die jede Tastatureingabe aufzeichnen, und täuschende Overlays. Diese gefälschten Login-Masken legen sich über legitime Banking-Apps und stehlen so Benutzernamen, Passwörter und Kreditkartendaten. Durch das Abfangen von SMS-Nachrichten kann der Trojaner auch Zwei-Faktor-Authentifizierungscodes der Banken aushebeln.
Vom Kontodieb zum Identitätsräuber
Die eigentliche Gefahr von Massiv geht über den direkten Kontozugriff hinaus. Die Betreiber verfolgen eine noch schädlichere Strategie: die umfassende Identitätsdiebstahl. Forscher beobachteten, wie der Schädling speziell die portugiesische Behörden-App „gov.pt“ angriff, in der Bürger offizielle Ausweisdokumente und ihren digitalen Mobil-Schlüssel verwalten.
Durch ein maßgeschneidertes Overlay auf dieser Regierungs-App locken die Angreifer Opfer dazu, ihre Telefonnummer und PIN preiszugeben. Mit diesen Daten können sie behördliche Identitätsprüfungen (KYC) umgehen. ThreatFabric bestätigt Fälle, in denen Kriminelle mit den gestohlenen Identitätsdaten unbemerkt neue Bankkonten auf den Namen des Opfers eröffneten. Diese Konten werden dann für Geldwäsche genutzt oder um Kredite zu beantragen und auszuzahlen. Das ahnungslose Opfer bleibt auf den Schulden sitzen und steht vor schwerwiegenden finanziellen und rechtlichen Problemen. Um diese Aktivitäten zu verbergen, kann Massiv einen schwarzen Bildschirm über das Gerät legen – der Angreifer agiert im Verborgenen, während das Opfer nichts sieht.
Immer raffinierter: Die mobile Bedrohungslandschaft
Die Entdeckung von Massiv unterstreicht die ständige Innovation von Cyberkriminellen im Mobile-Banking-Bereich. Die Tarnung als IPTV-App wird zu einer immer verbreiteteren und effektiveren Verbreitungsmethode, die die Nachfrage nach Streaming-Inhalten ausnutzt.
Der Trojaner spiegelt den neuesten Trend wider: die direkte, Echtzeit-Kontrolle über das Gerät des Opfers. Seine Kombination aus Fernzugriff, Bildschirmaufzeichnung und Abfangfähigkeiten macht ihn zu einem mächtigen Werkzeug für Betrug auf dem Mobilkanal. Die wachsende Raffinesse solcher Angriffe stellt eine große Herausforderung für Finanzinstitute dar. Auch der Einsatz KI-gestützter Tools, die überzeugendere Phishing-Köder erstellen und Betrug automatisieren, trägt zu einer gefährlicheren Umgebung für Nutzer digitaler Bankdienstleistungen bei.
Wer sich vor solchen mobilen Banking-Angriffen schützen möchte, findet ein kostenloses E‑Book mit praxisnahen Schutzmaßnahmen für Unternehmen und IT‑Verantwortliche – inklusive Checklisten zu Phishing-Erkennung, Device‑Takeover-Indikatoren und Mitarbeiterschulungen. Jetzt kostenloses Cyber-Security-E-Book herunterladen
So können sich Nutzer schützen
Die Fähigkeiten von Massiv deuten darauf hin, dass der Trojaner bald als „Malware-as-a-Service“ in Untergrundforen vermarktet werden könnte. Das würde zu einer weiteren Verbreitung führen.
Um das Infektionsrisiko zu minimieren, sollten Nutzer Apps ausschließlich aus vertrauenswürdigen Quellen wie dem Google Play Store herunterladen. Jede Anfrage nach umfangreichen Berechtigungen – besonders für Zugriffshilfen, SMS oder Bildschirmaufzeichnung – ist ein Warnsignal. Finanzinstitute müssen ihrerseits in robuste Sicherheitsmaßnahmen investieren, die Remote-Zugriffstools und andere Anzeichen einer Geräteübernahme erkennen und blockieren können. Aufklärung der Kunden über die Risiken des Sideloadings ist ein essenzieller Teil der Verteidigungsstrategie.
