Albiriox, FvncBot

Albiriox und FvncBot: Neue Android-Trojaner knacken 2FA in Echtzeit

10.12.2025 - 00:59:12

Albiriox und FvncBot: Neue Android-Trojaner knacken 2FA in Echtzeit - Foto: über boerse-global.de
Albiriox und FvncBot: Neue Android-Trojaner knacken 2FA in Echtzeit - Foto: über boerse-global.de

Zwei hochentwickelte Schädlinge bedrohen aktuell Android-Nutzer in Europa. Die Malware-Familien Albiriox und FvncBot setzen auf On-Device-Fraud-Techniken und hebeln damit selbst moderne Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung aus. Besonders perfide: Die Angriffe laufen direkt auf dem Gerät des Opfers ab – unsichtbar und in Echtzeit.

Sicherheitsforscher von Cleafy und Intel 471 warnen vor einem gefährlichen Trend. Statt plumper Phishing-Versuche übernehmen Kriminelle mittlerweile die vollständige Kontrolle über infizierte Smartphones. Deutsche und österreichische Nutzer stehen dabei besonders im Fokus gezielter Angriffskampagnen.

Ende November identifizierte Cleafy die Malware Albiriox. Cyberkriminelle bieten den Trojaner als “Malware-as-a-Service” für 650 bis 720 Dollar monatlich in Untergrund-Foren an. Die Software zielt auf über 400 Banking-Apps, Krypto-Wallets und Trading-Plattformen ab.

Besonders aktiv verbreitet sich Albiriox über eine gefälschte Version der “Penny Angebote & Coupons”-App. Die Masche funktioniert simpel: SMS- oder WhatsApp-Nachrichten locken Nutzer auf täuschend echte Fake-Webseiten, die den Google Play Store imitieren. Nach dem Download fordert die vermeintliche Schnäppchen-App weitreichende Berechtigungen unter dem Vorwand eines “System-Updates”.

Anzeige

Viele Android-Apps fordern unnötige Bedienungshilfen – genau darüber übernehmen moderne Trojaner wie Albiriox oft die Kontrolle. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone, zeigt welche Berechtigungen Sie niemals geben sollten und wie Sie Apps sicher aus dem Play Store prüfen. Inklusive praktischer Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking und fehlerhafte Update-Meldungen. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Sobald Nutzer diese Zugriffsrechte erteilen, nutzt Albiriox die Accessibility Services (Bedienungshilfen) für die komplette Geräteübernahme. Die Malware liest Tastatureingaben mit, streamt Bildschirminhalte und führt eigenständig Transaktionen durch.

FvncBot: Der unsichtbare Parallel-Nutzer

Anfang Dezember entdeckte Intel 471 mit FvncBot eine weitere Bedrohung. Der Trojaner richtet sich derzeit primär gegen polnische Bankkunden, verfügt aber über Potenzial für weltweite Angriffe. Die Malware tarnt sich oft als Sicherheits-App – etwa als “Sicherheitsschlüssel mBank”.

Das technische Highlight: FvncBot nutzt hVNC (Hidden Virtual Network Computing). Diese Technologie ermöglicht Angreifern eine parallele, unsichtbare Sitzung auf dem Smartphone. Während der Besitzer sein Gerät normal verwendet, führen Kriminelle im Hintergrund Banküberweisungen durch – komplett unbemerkt in einem versteckten virtuellen Fenster.

Anders als viele Trojaner basiert FvncBot nicht auf geleaktem Code älterer Malware. Die Software wurde offenbar von Grund auf neu entwickelt, was die Erkennung durch herkömmliche Virenscanner erheblich erschwert.

Gemeinsame Infrastruktur: Golden Crypt

Beide Malware-Familien nutzen denselben Verschleierungsdienst namens “Golden Crypt” (auch bekannt als “apk0day”). Diese Obfuskations-Services verändern den schadhaften Code so, dass Google Play Protect und andere Antivirenprogramme ihn zunächst nicht als bösartig erkennen.

Die gemeinsame Komponente deutet auf eine vernetzte kriminelle Infrastruktur hin. Sie erklärt auch, warum die Infektionsraten trotz moderner Sicherheitsarchitekturen in Android 14 und 15 weiterhin steigen.

Warum Zwei-Faktor-Authentifizierung versagt

Die größte Gefahr liegt im sogenannten On-Device Fraud (ODF). Da die Malware direkt auf dem Gerät operiert, läuft der Angriff folgendermaßen ab:

  • Der Nutzer loggt sich in seine echte Banking-App ein
  • Die Malware übernimmt die Sitzung oder wartet im Hintergrund
  • SMS-TANs werden in Echtzeit ausgelesen
  • Die Transaktion erfolgt vom vertrauenswürdigen Gerät – Betrugserkennungssysteme der Banken schlagen keinen Alarm

Sicherheitsexperten sprechen von einem Paradigmenwechsel: “Wir sehen eine Abkehr vom reinen Diebstahl von Zugangsdaten hin zur vollständigen Geräteübernahme.” Der Angriff zielt nicht mehr auf Passwörter oder Server, sondern auf die Identität des Geräts selbst.

So schützen Sie sich

Installieren Sie Apps ausschließlich aus dem offiziellen Google Play Store. Auch wenn Webseiten eine “Spezialversion” oder “exklusive Variante” anbieten – ignorieren Sie solche Angebote konsequent.

Hinterfragen Sie Berechtigungsanfragen kritisch. Eine Coupon-App, ein PDF-Reader oder eine Taschenlampen-App benötigt niemals Zugriff auf Bedienungshilfen (Accessibility Services). Lehnen Sie solche Anfragen kategorisch ab.

Seien Sie misstrauisch bei sofortigen Updates. Wenn eine neu installierte App unmittelbar ein “Add-on”, “Service-Pack” oder weiteres Modul nachladen will, deutet dies fast immer auf Malware hin. Deinstallieren Sie die App umgehend.

Experten erwarten für 2026 eine weitere Zunahme solcher Angriffe. KI-gestützte Übersetzungstools ermöglichen Kriminellen mittlerweile Phishing-Nachrichten in perfektem Deutsch – die Bedrohung wird also noch raffinierter.

Anzeige

PS: Sie nutzen Banking, WhatsApp oder PayPal auf dem Smartphone? Das kostenlose Sicherheitspaket fasst die fünf entscheidenden Schutzmaßnahmen zusammen, mit Checklisten und einfachen Einstellungen, die Ihr Gerät gegen On-Device-Fraud deutlich resistenter machen. Viele Leser sichern sich den Leitfaden, um Kontoübergriffe zu verhindern und Apps sicher zu prüfen. Gratis-Ratgeber mit 5 Schutzmaßnahmen für Android anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler