Android-Banking: Neue Malware Perseus bedroht persönliche Notizen

Die Cyberkriminalität verlagert sich massiv auf Smartphones. Während mobile Banking-Apps boomen, zielen Hacker mit immer raffinierteren Trojanern direkt auf Android-Geräte. Diese Woche verdeutlichen zwei alarmierende Berichte das globale Ausmaß der Bedrohung.

Perseus-Trojaner klaut Daten aus Notiz-Apps

Forscher des Sicherheitsunternehmens ThreatFabric haben am 19. März 2026 einen neuartigen Android-Banking-Trojaner analysiert. „Perseus“ nutzt den Quellcode älterer Schadsoftware wie Cerberus und zielt auf Banken und Krypto-Plattformen in Deutschland, Italien, Frankreich und anderen Ländern ab.

Die Verbreitung erfolgt raffiniert: Die Malware tarnt sich als IPTV- oder TV-Streaming-App, etwa für populäre Dienste wie Roja Directa TV. Nutzer, die solche Apps außerhalb des offiziellen Google Play Stores installieren („sideloaden“), infizieren ihr Gerät.

Angesichts raffinierter Trojaner wie Perseus, die gezielt Sicherheitslücken auf Android-Geräten ausnutzen, ist ein proaktiver Schutz Ihrer sensiblen Daten unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Smartphone effektiv vor Schadsoftware und Datenklau absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Perseus nutzt klassische Methoden wie gefälschte Login-Overlays über echten Banking-Apps. Seine gefährlichste Fähigkeit ist jedoch neu: Der Trojaner durchsucht infizierte Geräte nach Notiz-Apps wie Google Keep oder Evernote. Er stiehlt automatisch gespeicherte Inhalte – darunter oft ungeschützt abgelegte Krypto-Wiederherstellungsphrasen, Passwörter oder Bankdaten. Durch Missbrauch der Android-Barrierefreiheitsdienste (Accessibility Services) übernimmt die Malware schließlich die vollständige Kontrolle über das Gerät.

Zimperium-Report: Finanzbetrug über Android explodiert um 67%

Die Bedrohung durch Einzeltrojaner ist nur Teil eines industrialisierten Angriffs auf mobile Finanzen. Das geht aus dem „2026 Mobile Banking Heist Report“ des Sicherheitsanbieters Zimperium hervor, der ebenfalls am 19. März veröffentlicht wurde.

Die zentrale Erkenntnis: Durch Android-Malware initiierte Finanztransaktionen sind im Jahresvergleich um 67% gestiegen. Die Studie identifiziert 34 aktive Malware-Familien, die 1.243 Finanzmarken in 90 Ländern ins Visier nehmen.

Cyberkriminelle haben sich von Server-Angriffen ab- und der Kompromittierung des mobilen Endgeräts zugewandt. Moderne Banking-Trojaner fangen Authentifizierungscodes ab, überwachen Telefonate und imitieren legitime Banking-Sitzungen. Drei Familien – TsarBot, CopyBara und Hook – dominieren das Feld und zielen auf über 60% der untersuchten Bank- und Fintech-Apps ab.

Besorgniserregend ist ein weiterer Trend: Fast die Hälfte der analysierten Schadprogramme besitzt Ransomware-Fähigkeiten. Bleibt der Diebstahl von Zugangsdaten erfolglos, verschlüsseln die Angreifer einfach Dateien auf dem Gerät des Opfers. Während die USA mit 162 angegriffenen Bank-Apps primäres Ziel bleiben, sind auch europäische Märkte wie Deutschland kontinuierlichen, lokalisierten Kampagnen ausgesetzt.

Da herkömmliche Updates oft nicht ausreichen, um der explosionsartigen Zunahme von Finanzbetrug durch Android-Malware zu begegnen, benötigen Nutzer spezialisierte Strategien. Erfahren Sie in diesem gratis Sicherheits-Leitfaden, welche fünf Maßnahmen Ihr Gerät spürbar sicherer machen und eine häufig unterschätzte Sicherheitslücke schließen. Kostenlosen Sicherheits-Ratgeber herunterladen

Googles Gegenmaßnahmen: Accessibility-Dienste und Sideloading eingeschränkt

Als Reaktion auf den Missbrauch von Systemfunktionen durch Banking-Trojaner verschärft Google die Sicherheitsvorkehrungen. Seit dem 19. März 2026 schränkt der Konzern den Zugriff von Apps auf die Barrierefreiheitsdienste (Accessibility API) stark ein.

Mit Android 17.2 ist dieser Zugriff im „Advanced Protection Mode“ (APM) für Apps, die keine Kernfunktion für Barrierefreiheit erfüllen, blockiert. Diese Maßnahme schneidet Trojanern einen kritischen Pfad ab, um Zwei-Faktor-Authentifizierungscodes abzufangen oder Overlay-Angriffe auszuführen.

Einen Tag später, am 20. März, kündigte Google zudem einen neuen, strengeren Sideloading-Prozess an. Nutzer, die Apps von nicht verifizierten Entwicklern installieren wollen, müssen nun eine 24-stündige Wartezeit einhalten. Diese Verzögerung soll es ermöglichen, bösartige Akteure schneller zu identifizieren und zu verhindern, dass sie Nutzer dazu verleiten, erhöhte Systemberechtigungen zu erteilen.

Gleichzeitig patchte Google im März 2026 im Rahmen seines Sicherheits-Bulletins 129 Schwachstellen, darunter eine kritische Zero-Day-Lücke (CVE-2026-21385) in Qualcomm-Chipsätzen, die bereits aktiv ausgenutzt wurde.

Analyse: Der Angriffspunkt verlagert sich in die Hand des Nutzers

Experten sehen in diesen Entwicklungen einen fundamentalen Wandel. Finanzinstitute können sich nicht mehr allein auf Sicherheit im Rechenzentrum verlassen – der Angriffspunkt ist das Smartphone des Kunden. Die Raffinesse moderner Android-Malware, die teilweise mit automatischer Code-Generierung arbeitet, erlaubt es Angreifern, ihre operationen schnell zu skalieren und sich an Sicherheits-Patches anzupassen.

Die Abhängigkeit vom Sideloading zur Verbreitung zeigt zudem eine Verhaltensschwäche bei Nutzern. Das Streben nach kostenlosen Streaming-Diensten oder alternativen App-Quellen umgeht die etablierten Sicherheitsökosysteme.

Sicherheitsforscher betonen: Während Einschränkungen auf Betriebssystem-Ebene entscheidend sind, müssen diese durch robuste App-internen Schutz ergänzt werden. Bank-Apps werden zunehmend Integritätsprüfungen, Schutz vor Reverse-Engineering und Verhaltensanalysen integrieren müssen, um kompromittierte Geräte zu erkennen, bevor eine betrügerische Transaktion durchgeführt wird.

Die Zukunft verspricht ein sich intensivierendes Wettrüsten. Während Google System-APIs weiter abschottet, werden Malware-Entwickler vermehrt auf Zero-Day-Lücken oder ausgefeiltere Social-Engineering-Methoden setzen. Für Verbraucher bleibt die Botschaft klar: Die Bequemlichkeit des Mobile Bankings erfordert ein waches Auge für App-Berechtigungen, strikte Vermeidung nicht verifizierter Software-Quellen und die Nutzung aller erweiterten Geräteschutz-Funktionen.

boerse | 68954413 |