Android-Malware stiehlt Bankdaten und schürft Krypto

IT-Sicherheitsexperten warnen vor einer massiven Zunahme von Bankdaten-Diebstählen durch neuartige Android-Malware. Die Zahl der Angriffe mit Banking-Trojanern ist im vergangenen Jahr um 56 Prozent gestiegen. Besonders alarmierend sind zwei in dieser Woche aufgedeckte Schadprogramme namens „BeatBanker“ und „PixRevolution“.

Angesichts der rasant steigenden Zahl von Banking-Trojanern ist ein Basisschutz für das Smartphone unerlässlich, um WhatsApp, Online-Banking und persönliche Daten abzusichern. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie Ihr Android-Gerät effektiv vor Kriminalität und Datenklau schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Alarmierende Zahlen: 255.000 neue Schadprogramme

Laut dem aktuellen Mobile Threat Report von Kaspersky erreicht die Gefahr für mobiles Online-Banking einen neuen Höhepunkt. Die Experten identifizierten over 255.000 neue Varianten von Schadsoftware. Eine besonders bedenkliche Entwicklung: Immer häufiger verstecken sich sogenannte Backdoors bereits ab Werk in der Firmware neuer Smartphones. Angreifer erlangen so Kontrolle, noch bevor der Nutzer die erste App installiert hat.

BeatBanker: Der Doppel-Schlag aus Trojaner und Miner

Die Malware „BeatBanker“ verbreitet sich über gefälschte Webseiten, die den Google Play Store exakt imitieren. Als Köder dienen gefälschte Versionen beliebter Apps, etwa für Starlink oder staatliche Dienste. Nach der Installation fordert die App weitreichende Berechtigungen ein.

Ihre Taktik ist doppelt gefährlich: Im Hintergrund schürft sie heimlich die Kryptowährung Monero. Gleichzeitig fungiert sie als Banking-Trojaner. Bei Krypto-Transaktionen auf Plattformen wie Binance tauscht sie unbemerkt die Zieladresse aus. Um einer Beendigung durch Android zu entgehen, spielt sie eine kaum hörbare Audiodatei ab. Neuere Varianten ersetzen das Banking-Modul durch das Fernwartungstool BTMOB – es gibt den Tätern volle Kontrolle.

PixRevolution: Der Mensch im Angriffsloop

Nahezu zeitgleich dokumentierten Analysten von Zimperium die Malware „PixRevolution“. Sie zielt derzeit auf das brasilianische Sofortüberweisungssystem Pix ab. Ihre Methode ist neu: Statt auf Automatismen setzt sie auf ein interaktives „Agent-in-the-Loop“-Modell.

Menschliche Angreifer oder KI-Agenten beobachten den Bildschirm des Opfers in Echtzeit. Initiiert der Nutzer eine Überweisung, greift die Malware ein. Sie blendet einen gefälschten Ladebildschirm ein und ersetzt im Hintergrund die Empfängerdaten. Die Transaktion läuft regulär zu Ende – das Opfer bemerkt den Betrug nicht.

So tricksen die Trojaner die Sicherheitssysteme aus

Moderne Android-Malware umgeht etablierte Sicherheitsmechanismen systematisch. Der schädliche Code wird erst direkt im Arbeitsspeicher entpackt, was die Erkennung erschwert. Programme wie BeatBanker überprüfen zudem Akkustand und Nutzeraktivität, um ressourcenintensive Prozesse wie das Mining zu starten oder zu stoppen.

Für die Kommunikation mit ihren Kontrollservern nutzen die Angreifer legitime Dienste wie Firebase Cloud Messaging. So verschleiern sie ihren Datenverkehr und stellen sicher, dass infizierte Geräte permanent erreichbar bleiben.

Da herkömmliche Updates oft nicht ausreichen, um raffinierte Trojaner zu stoppen, sollten Nutzer zusätzliche Sicherheitsvorkehrungen treffen. Erfahren Sie in diesem Gratis-Sicherheitspaket, welche häufig unterschätzten Lücken Sie schließen müssen, um Ihr Smartphone spürbar sicherer zu machen. Kostenlosen Sicherheits-Ratgeber herunterladen

Malware-as-a-Service senkt die Einstiegshürde

Branchenanalysten sehen einen signifikanten Wendepunkt. Die Kombination verschiedener Angriffsvektoren in einer Schadsoftware maximiert den Profit. Ein wachsendes Problem sind Malware-as-a-Service-Modelle (MaaS). Tools wie BTMOB oder der Trojaner Mirax werden in Untergrundforen vermietet.

Das senkt die Einstiegshürde für Kriminelle ohne Programmierkenntnisse und führt zu einer massenhaften Verbreitung. Zwar konzentrieren sich BeatBanker und PixRevolution derzeit auf Südamerika. Die zugrundeliegenden Technologien könnten jedoch jederzeit gegen europäische Bankkunden eingesetzt werden.

Was Nutzer jetzt beachten müssen

Für die kommenden Monate erwarten Experten eine weitere Zunahme hochkomplexer Banking-Trojaner. Die Angreifer werden ihre Methoden zur Umgehung von Zwei-Faktor-Authentifizierung verfeinern. Der zentrale Angriffsvektor bleibt voraussichtlich die Ausnutzung der Android-Bedienungshilfen.

Nutzer sollten Apps ausschließlich aus offiziellen Stores herunterladen, bei Berechtigungen äußerst restriktiv vorgehen und ihre Kontobewegungen regelmäßig prüfen. Nur mit erhöhtem Gefahrenbewusstsein und proaktiven Gegenmaßnahmen lässt sich der wachsenden Bedrohung begegnen.