Cybersicherheitsforscher haben einen gefährlichen neuen Banking-Trojaner entdeckt, der es auf mehr als 180 Finanz-Apps abgesehen hat – auch in Deutschland.
Die Malware mit dem Namen OverlayPhantom ist seit Mai 2025 aktiv, wie die Experten von Cyble Research (CRIL) berichten. Der Trojaner zielt darauf ab, sensible Daten zu stehlen, indem er Bank-, Finanz- und Kryptowährungs-Apps in zehn Ländern angreift. Neben den USA, Großbritannien und Australien steht auch Deutschland auf der Zielliste.
Angesichts der neuen Bedrohungswelle durch Banking-Trojaner ist der Schutz sensibler Finanzdaten auf dem Smartphone wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Viren absichern. Jetzt 5 Schutzmaßnahmen für Android kostenlos entdecken
So gelangt der Trojaner aufs Handy
OverlayPhantom verbreitet sich über bösartige Links, die vertrauenswürdige Dienste imitieren – etwa die Plattform TikTok oder die österreichische Regierungs-App ID Austria. Der Infektionsprozess läuft in zwei Stufen ab. Zunächst installiert ein sogenannter Dropper eine App, die sich als routinemäßiges Google-Play-Update tarnt.
Ist die App erst einmal auf dem Gerät, versucht sie, den Nutzer zur Aktivierung des Android Accessibility Service zu verleiten. Erteilt das Opfer diese Berechtigung, erlangt OverlayPhantom die dauerhafte Kontrolle über das Smartphone. Die Malware tarnt sich anschließend als harmloser Google-Play-Dienst, um nicht aufzufallen.
Umfassende Fernsteuerung und Phishing
Der Trojaner gibt Angreifern weitreichende Kontrollmöglichkeiten – mehr als 30 verschiedene Befehle stehen zur Verfügung. Besonders perfide: Die Schadsoftware kann den Bildschirm in Echtzeit streamen und sogenannte HTML-Phishing-Overlays einblenden. Diese Overlays legen sich über die legitimen Banking-Apps und täuschen Login-Masken vor, um Kontonummern, PINs und Passwörter abzugreifen.
Viele Android-Nutzer verwenden täglich Apps wie WhatsApp, PayPal oder Online-Banking, ohne die versteckten Gefahren durch manipulierte Overlays zu kennen. Erfahren Sie in diesem Gratis-Leitfaden, wie IT-Experten die Sicherheit Ihres Smartphones bewerten und welche Maßnahmen Sie sofort ergreifen sollten. Kostenlosen Android-Sicherheits-Ratgeber hier anfordern
Die Kommunikation mit den Angreifern läuft über eine spezifische Command-and-Control(C&C)-Infrastruktur mit der IP-Adresse 199.217.99.122. Dabei werden mehrere Ports genutzt: Port 9091 für Befehle, 9092 für Statusmeldungen und 9090 für den Datenstrom.
Weitere Android-Bedrohungen im Umlauf
OverlayPhantom ist kein Einzelfall. Die Forscher beobachten einen besorgniserregenden Trend hin zu immer leistungsfähigeren Android-Schädlingen. So ist seit Anfang 2025 auch der BTMOB aktiv – ein Remote Access Trojan (RAT), der aus der SpySolr-Familie hervorgegangen ist.
Anders als OverlayPhantom wird BTMOB als Malware-as-a-Service (MaaS) vermarktet. Kriminelle können das Paket inklusive APK-Baukasten für umgerechnet rund 4.600 Euro erwerben. Auch BTMOB nutzt den Android Accessibility Service für Bildschirmaufnahmen und den Diebstahl von Zugangsdaten.
Zusätzlich deckten Sicherheitsforscher von Zimperium eine separate Kampagne mit rund 250 betrügerischen Android-Apps auf. Diese Apps tarnen sich als beliebte Software wie Minecraft oder TikTok und treiben Finanzbetrug, indem sie heimlich kostenpflichtige Abos über die Handyrechnung buchen. Ihren Höhepunkt erreichte diese Welle im September 2025, die meisten Opfer sitzen in Malaysia.
Reaktionen der Plattformen und Banken
Google arbeitet offenbar an neuen Sicherheitsfunktionen für den Play Store. Analysen der aktuellen Store-Versionen deuten auf ein Benachrichtigungssystem hin, das Nutzer warnt, wenn eine installierte App aus dem Store entfernt wurde und keine Updates mehr erhält.
Im Bankensektor haben unter anderem die vietnamesischen Institute LPBank und VPBank Warnungen vor ausgeklügelten Online-Betrugsmaschen herausgegeben. Daten des vietnamesischen SIMO-Systems, das seit Mai 2024 im Einsatz ist, zeigen: Bis Mitte Mai 2026 wurden über vier Millionen Kunden vor potenziellen Gefahren gewarnt. Transaktionen im Wert von umgerechnet rund 170 Millionen Euro konnten dadurch verhindert werden.
