Albiriox und HashJack: Neue Bedrohungen für Online-Banking

Die Schnäppchenjagd zum Black Friday und Cyber Monday ist vorbei – doch für viele Nutzer könnte das böse Erwachen jetzt erst beginnen. Cybersicherheitsforscher schlagen Alarm: Zwei hochgefährliche Angriffswerkzeuge bedrohen Online-Banking-Nutzer weltweit.

In den letzten 72 Stunden wurden Details zu „Albiriox”, einem besonders raffinierten Android-Banking-Trojaner, und „HashJack”, einer neuartigen Schwachstelle in KI-Browser-Assistenten, bekannt. Was beide eint? Sie markieren einen Paradigmenwechsel in der Kriminalität: Statt simple Passwörter zu stehlen, übernehmen diese Angriffe in Echtzeit die Kontrolle über Geräte und manipulieren Nutzer durch vermeintlich vertrauenswürdige KI-Tools.

Am Montag, dem 1. Dezember, enthüllten Sicherheitsforscher die Existenz von „Albiriox” – einer neuen Malware-as-a-Service (MaaS), die bereits über 400 Banking-, Kryptowährungs- und Wallet-Anwendungen weltweit attackiert.

Laut Analysen der IT-Sicherheitsfirmen Cleafy und Malwarebytes hebt sich Albiriox durch fortgeschrittene „On-Device Fraud”-Fähigkeiten (ODF) ab. Während klassisches Phishing darauf abzielt, Passwörter abzugreifen, setzt dieser Trojaner einen Schritt früher an: vollständige Geräteübernahme.

Viele Android-Nutzer unterschätzen das Risiko von Schadsoftware, die per Bedienungshilfen Geräte komplett übernimmt — genau wie Albiriox. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android: Berechtigungs-Checks, App-Hygiene, Updates, sichere Browsing-Gewohnheiten und einfache Prüfungen für Banking-Apps. Mit klaren Schritt-für-Schritt-Anleitungen schützen Sie Ihre Konten und persönlichen Daten sofort. Jetzt kostenloses Android-Sicherheitspaket herunterladen

„Albiriox ist für Echtzeit-Interaktion konzipiert”, heißt es in den Berichten dieser Woche. Die Schadsoftware nutzt ein Virtual-Network-Computing-Modul (VNC), mit dem Angreifer den Bildschirm des Opfers sehen und Gesten wie Tippen oder Wischen ausführen können – direkt auf dem infizierten Smartphone. Betrügerische Überweisungen werden so vom Gerät des Nutzers selbst initiiert, was viele Betrugssysteme der Banken ins Leere laufen lässt. Schließlich vertrauen diese darauf, „unbekannte Geräte” zu erkennen.

Die Verbreitung erfolgt über getarnte Dropper-Apps, die sich als legitime Tools oder Updates ausgeben und oft durch Social Engineering beworben werden. Nach der Installation fordert Albiriox Zugriff auf die „Bedienungshilfen” – ein kritisches Warnsignal, das Sicherheitsexperten zufolge niemals leichtfertig gewährt werden sollte.

HashJack: Wenn die KI zum Komplizen wird

Parallel dazu sorgt eine völlig andere Bedrohung für Aufsehen: „HashJack”. Diese von Cato Networks Ende November offengelegte Angriffsmethode nutzt eine Schwachstelle in KI-Browser-Assistenten wie Microsoft Copilot und Google Gemini.

Der Trick? Das simple #-Zeichen in URLs. Während Webserver Inhalte nach dem Hash-Symbol ignorieren, verarbeiten KI-Assistenten häufig die komplette Adresse – inklusive versteckter Anweisungen im Fragment. Angreifer können dort bösartige Befehle einschleusen.

Bittet ein Nutzer seinen KI-Assistenten, eine Webseite mit einer „HashJacked”-URL zusammenzufassen, führt die KI unwissentlich die versteckten Kommandos aus. Die Folgen reichen von falschen Finanzempfehlungen über Datendiebstahl bis hin zu Weiterleitungen auf Phishing-Seiten.

„Diese Entdeckung erinnert die Branche daran, dass Anbieter dringend Designfehler in KI-Systemen beheben müssen, sobald diese sensible Daten verarbeiten”, mahnen die Forscher von Cato Networks. Microsoft und Perplexity haben bereits Patches veröffentlicht – doch die Schwachstelle zeigt: Blindes Vertrauen in KI kann gefährlich werden.

Shopping-Scams nach Cyber Monday

Die technischen Bedrohungen kommen zu einem denkbar ungünstigen Zeitpunkt. Am Montag warnte die New York State Division of Consumer Protection vor einer Welle KI-generierter Fake-Shops nach dem Shopping-Wochenende.

Betrüger setzen zunehmend auf generative KI, um täuschend echte Online-Shops und Produktbilder zu erstellen. Allein 2024 meldeten Verbraucher in New York Verluste von über 15 Millionen Euro durch Online-Shopping-Betrug – Tendenz steigend.

„Betrüger locken mit KI-generierten Seiten Käufer in Fallen”, warnte die Behörde am 1. Dezember. Empfohlen wird, URLs genau zu prüfen und niemals unaufgefordert zugesandte Links anzuklicken – eine Regel, die auch der Haupteinfallsvektor für Malware wie Albiriox ist.

Die neue Ära: Angriffe auf dem Gerät

Das zeitgleiche Auftreten von Albiriox und BankBot YNRK (ein weiterer Android-Trojaner, der Ende November entdeckt wurde) markiert einen strategischen Kurswechsel der Cyberkriminellen. Jahrelang konzentrierte sich die Sicherheitsbranche auf „Identitätsschutz” – Passwörter und Zwei-Faktor-Authentifizierung (2FA). Doch Malware, die auf dem Gerät des Opfers operiert, macht viele dieser Schutzmaßnahmen obsolet.

Wenn ein Angreifer per Bedienungshilfen Fernzugriff hat, kann er einfach warten, bis sich der Nutzer authentifiziert – und dann selbst eine Überweisung auslösen oder 2FA-Codes direkt abfangen. Dieses „On-Device Fraud”-Modell erzwingt ein Umdenken:

• Berechtigungen kritisch prüfen: Zugriff auf „Bedienungshilfen” nur im absoluten Notfall gewähren.
• App-Hygiene: Das Risiko von Apps außerhalb offizieller Stores ist für Banking-Nutzer existenziell.
• Verhaltensanalyse: Banken setzen verstärkt auf biometrische Verhaltensmuster (Tipp-Geschwindigkeit, Gerätehaltung), um echte Nutzer von ferngesteuerten Bots zu unterscheiden.

Ausblick: Die Bedrohung wandert ins Netzwerk

Mit Blick auf 2026 warnte Christiaan Beek, Senior Director of Threat Intel bei Rapid7, am 1. Dezember vor einer weiteren Entwicklung: Ransomware-Angriffe verlagern sich „an den Netzwerkrand” – auf unüberwachte Geräte und Gateways.

Für Bankkunden bedeutet das: Mehr Reibung beim Login. Finanzinstitute werden voraussichtlich strengere App-Scans einführen und Banking-Apps möglicherweise blockieren, wenn „Bedienungshilfen” für verdächtige Apps aktiv sind. Mit der zunehmenden KI-Integration wird auch „KI-Skepsis” zur Pflicht – Nutzer müssen Ausgaben von Browser-Assistenten genauso prüfen wie den Rat eines Fremden.

Was Nutzer jetzt tun sollten

• Berechtigungen überprüfen: Zugriff auf „Bedienungshilfen” für alle nicht zwingend benötigten Apps widerrufen.
• URLs manuell prüfen: Nicht blind auf KI-Zusammenfassungen von Banking- oder Shopping-Links vertrauen.
• Offizielle Stores nutzen: Drittanbieter-App-Marktplätze meiden, wo Albiriox-Dropper lauern.
• Sofort updaten: Mobiles Betriebssystem und Browser auf den neuesten Stand bringen, um Exploits wie HashJack zu verhindern.

PS: Wenn Sie verhindern möchten, dass Trojaner wie Albiriox über manipulierte Apps oder Phishing-Links Zugriff bekommen, hilft ein klarer Sicherheitsplan. Das kostenlose Android-Schutzpaket erklärt unter anderem, welche Einstellungen bei „Bedienungshilfen” kritisch sind, wie Sie Drittanbieter-Apps erkennen und automatische Update-Checks einrichten. Ideal für Mobile-Banking- und Online-Shop-Nutzer, die ihre Konten sofort besser schützen wollen. Sicherheits-Paket jetzt gratis anfordern