Android-Trojaner kapern Smartphones über Bedienungshilfen

Hacker nutzen ausgerechnet die Barrierefreiheits-Funktion von Android als Einfallstor. ClayRat und ToxicPanda übernehmen die volle Kontrolle über Geräte und führen Banküberweisungen im Hintergrund aus – während die Opfer nichts davon bemerken.

Die Masche ist perfide: Angreifer tarnen ihre Schadsoftware als harmloses Chrome- oder WhatsApp-Update. Sobald Nutzer der vermeintlich seriösen App Zugriff auf die Bedienungshilfen gewähren, entfaltet die Malware ihr volles Potenzial. Sie klickt selbstständig durch Systemmenüs, erteilt sich weitere Rechte und deaktiviert Google Play Protect.

“Wir sehen eine Verschiebung von passiver Spionage hin zu aktivem Betrug direkt auf dem Gerät,” warnen Sicherheitsexperten.

Die Malware wartet nicht mehr auf Daten – sie führt Transaktionen eigenständig aus.

Viele Android-Nutzer übersehen genau die Sicherheitslücken, die Banking-Trojaner wie ClayRat und ToxicPanda ausnutzen. In einem kostenlosen Praxis-Ratgeber lernen Sie die fünf wichtigsten Schutzmaßnahmen: sichere Quellen für Apps, korrekte Nutzung von Bedienungshilfen, Aktivierung von Google Play Protect und praktische Checklisten für WhatsApp & Online-Banking. Schritt-für-Schritt erklärt, leicht umsetzbar – ideal für alle, die ihr Smartphone sofort besser absichern wollen. Jetzt kostenloses Android-Sicherheitspaket anfordern

ClayRat: Der unsichtbare Bildschirm-Spion

Der Trojaner ClayRat gibt sich als PDF-Scanner oder Videoplayer aus. Nach der Installation streamt er Bildschirminhalte live an die Angreifer. Diese können Login-Vorgänge in Echtzeit beobachten und gezielt eingreifen.

Besonders raffiniert: ClayRat legt gefälschte Anmeldefenster über echte Banking-Apps. Nutzer geben ihre Zugangsdaten in die Falle ein, ohne Verdacht zu schöpfen. Die Malware protokolliert jeden Tastendruck – PINs, Passwörter und TANs eingeschlossen.

ToxicPanda: Bankraub per Fernsteuerung

Der Banking-Trojaner ToxicPanda zielt auf Finanzinstitute in Europa und Lateinamerika ab. Mit über 1.500 infizierten Geräten in frühen Kampagnen zeigt sich das Schadenspotenzial. Die Malware initiiert Überweisungen direkt auf dem kompromittierten Smartphone.

Gerätebasierte Sicherheitschecks der Banken? Wirkungslos. ToxicPanda fängt SMS-Einmalpasswörter ab und bestätigt Transaktionen im Hintergrund. Die Bank erkennt das vertraute Gerät und gibt grünes Licht – während das Geld auf Konten der Kriminellen fließt.

Auch der bekannte Trojaner TrickMo wurde mit neuen Fähigkeiten gesichtet: Er zeigt einen gefälschten Sperrbildschirm an und greift so den Entsperr-PIN ab.

Google schlägt zurück mit KI-Schutz

Google reagiert mit der massiven Ausweitung der Live Threat Detection. Die Funktion nutzt künstliche Intelligenz direkt auf dem Gerät, um bösartiges Verhalten in Echtzeit zu erkennen.

Statt nur bekannte Virensignaturen zu suchen, analysiert die KI das Verhalten von Apps:

• Versucht eine App, im Hintergrund mit anderen Apps zu interagieren?
• Fordert sie ungewöhnlich viele Berechtigungen in kurzer Zeit an?
• Greift sie auf sensible Daten zu, ohne dass der Nutzer aktiv mit ihr arbeitet?

Die Analyse läuft über den “Private Compute Core” – Nutzerdaten verlassen das Gerät nicht. Google hat zudem die Richtlinien für Apps verschärft, die Bedienungshilfen anfordern. Apps ohne explizite Hilfsfunktionen für Menschen mit Behinderungen werden im Play Store zunehmend blockiert.

Das schwächste Glied: Der Mensch

Die aktuelle Angriffswelle zeigt einen kritischen Trend: Hochkomplexe Angriffswerkzeuge werden zunehmend demokratisiert. Malware-as-a-Service ermöglicht es auch technisch weniger versierten Kriminellen, fortschrittliche Botnetze zu mieten.

Der Fokus auf Betrug direkt auf dem Gerät ist eine direkte Antwort auf verbesserte Bankensicherheit. Da Banken biometrische Daten und Geräte-Fingerprinting nutzen, reicht der Diebstahl von Passwörtern nicht mehr aus. Die Lösung der Angreifer: Den Betrug vom “vertrauenswürdigen” Gerät des Opfers durchführen.

So schützen Sie sich

Experten raten dringend zu drei Maßnahmen:

• Niemals Apps außerhalb des Google Play Stores installieren – besonders nicht auf Aufforderung per SMS oder E-Mail
• Extrem skeptisch sein bei Apps, die Zugriff auf Bedienungshilfen fordern (keine legitime PDF- oder Video-App benötigt diese Berechtigung)
• Google Play Protect aktiv halten und Systemwarnungen ernst nehmen

Das Wettrüsten zwischen KI-basierten Angreifern und Verteidigern wird sich 2026 weiter intensivieren. Der Faktor Mensch bleibt jedoch das schwächste Glied: Solange Nutzer dazu gebracht werden können, den kritischen Schalter umzulegen, sind alle nachgelagerten Sicherheitsmechanismen gefährdet.

PS: Sie nutzen Online-Banking oder WhatsApp auf dem Smartphone? Das kostenlose Sicherheitspaket zeigt kompakt, wie Sie Ihr Android so einstellen, dass Schad-Apps keine Chance haben: Welche Berechtigungen nie nötig sind, wie man betrügerische App-Updates erkennt und wie man Play Protect sinnvoll nutzt. Mit praktischen Checklisten, sofort umsetzbar. Jetzt Android-Schutzpaket gratis herunterladen