Eine neue, kommerzielle Spionageplattform namens ZeroDayRAT bringt die Überwachungskapazitäten von Geheimdiensten in die Hände gewöhnlicher Cyberkrimineller. Die Bedrohung für Android- und iOS-Nutzer erreicht damit eine neue Dimension.
Der gefährliche Trend zur Demokratisierung der Cyberkriminalität
Die Forscher beobachten seit Anfang Februar einen alarmierenden Trend: Auf dem Messenger Telegram wird ein mächtiges Spionage-Kit als Dienstleistung angeboten. Für einen Preis erhalten Kunden eine webbasierte Steuerkonsole, mit der sie infizierte Smartphones fernsteuern können. Diese Entwicklung bedeutet eine gefährliche Demokratisierung von Hackerwerkzeugen, die bisher nur staatlichen Akteuren vorbehalten waren. Parallel dazu kursiert die Schadsoftware TrustBastion, die sich als Sicherheits-App tarnt. Beide Bedrohungen zeigen, wie kreativ und aggressiv Angreifer vorgehen.
So funktioniert die Allzweckwaffe ZeroDayRAT
Die Plattform ist erschreckend einfach zu bedienen und verspricht Unterstützung für Android-Versionen 5 bis 16. Die Infektion erfolgt meist über Smishing – betrügerische Textnachrichten mit Links zu scheinbar legitimen Apps. Auch Phishing-E-Mails oder WhatsApp-Nachrichten dienen als Einfallstor.
Gegen Smishing, Phishing und fertige Spyware hilft Wissen: Ein kostenloses E‑Book erklärt die aktuellen Cyber-Security-Bedrohungen, typische Angriffswege (inklusive Smishing und Phishing) und praktische Schutzmaßnahmen für Unternehmen und Anwender. Schritt-für-Schritt-Tipps zeigen, wie Sie Geräte härten, Phishing erkennen und Bank- sowie Krypto-Apps besser absichern. Jetzt gratis E‑Book „Cyber Security Awareness Trends“ herunterladen
Ist die Software einmal installiert, hat der Angreifer fast uneingeschränkte Kontrolle. Das Dashboard zeigt Hardware-Details, den genauen Standort, Mobilfunkanbieter und SMS-Nachrichten an. In Echtzeit können Gespräche abgehört, Benachrichtigungen mitgelesen und jede Tastatureingabe – inklusive Passwörter und PINs – aufgezeichnet werden. Besonders brisant sind spezielle Module zum Diebstahl von Kryptowährungen und zur Manipulation von Online-Banking-Apps.
Die Tarnkappen-Strategie: Malware als Sicherheits-App
Während ZeroDayRAT mit roher Gewalt punktet, setzt die TrustBastion-Kampagne auf Täuschung. Die Malware tarnt sich als Sicherheitsanwendung, die Nutzer mit Warn-Pop-ups ködert. Die angebliche App ist zunächst harmlos und fungiert als sogenannter Dropper. Sie fordert den Nutzer zu einem angeblichen Update auf, das die eigentliche Schadsoftware von der seriösen KI-Plattform Hugging Face nachlädt – ein cleverer Schachzug, um Sicherheitssoftware auszutricksen.
Einmal aktiv, verlangt die Malware penetrant Zugriff auf die Barrierefreiheits-Dienste (Accessibility Services) von Android. Mit diesen weitreichenden Berechtigungen kann sie Bildschirminhalte auslesen und gefälschte Login-Masken über echte Banking-Apps legen, um Zugangsdaten abzugreifen.
So erkennen und entfernen Sie die Schadsoftware
Moderne Spyware arbeitet oft unerkannt. Klassische Warnsignale wie ein plötzlich leerer Akku, hoher Datenverbrauch oder abstürzende Apps können Hinweise sein. Der erste deutliche Hinweis ist oft ein unerklärlicher Geldabfluss oder fremde Logins in den eigenen Konten.
Bei Verdacht auf eine Infektion ist schnelles Handeln entscheidend:
1. Gerät isolieren: Sofort WLAN und Mobilfunk deaktivieren, um die Kommunikation mit den Command-and-Control-Servern zu unterbrechen.
2. Abgesicherten Modus starten: Ein Neustart im abgesicherten Modus deaktiviert alle Drittanbieter-Apps. Verschwinden die Probleme, ist eine heruntergeladene App der Übeltäter.
3. Scannen und entfernen: Nutzen Sie Google Play Protect für einen Sicherheitsscan. Prüfen Sie die Liste der installierten Apps und deinstallieren Sie alle unbekannten oder verdächtigen Programme.
4. Administrator-Rechte entziehen: Einige Schadprogramme schützen sich selbst, indem sie sich als Geräteadministrator eintragen. Entfernen Sie diese Berechtigungen in den Sicherheitseinstellungen.
5. Zurück auf Werkseinstellungen: Als letztes Mittel hilft nur ein Factory Reset. Dabei gehen alle Daten verloren – sichere Backups sind daher essenziell.
Proaktiver Schutz ist die einzige Antwort
Die Bedrohungslage hat sich grundlegend verändert. Die „Malware-as-a-Service“‑Angebote wie ZeroDayRAT senken die Einstiegshürde für Kriminelle erheblich. Gleichzeitig missbrauchen Angreifer zunehmend vertrauenswürdige Plattformen und Systemfunktionen, um unentdeckt zu bleiben.
Nutzer müssen wachsam bleiben. Laden Sie Apps nur aus dem offiziellen Google Play Store herunter und prüfen Sie kritisch, welche Berechtigungen eine App einfordert. Seien Sie besonders misstrauisch bei Anfragen für Zugriff auf die Barrierefreiheits-Dienste. Halten Sie Ihr Betriebssystem und alle Apps stets aktuell, um Sicherheitslücken zu schließen. Funktionen wie Google Play Protect und eine zuverlässige Sicherheits-Suite von Drittanbietern bilden entscheidende Schutzschichten in einer zunehmend feindseligen digitalen Umgebung.
