Android: Trojaner tarnen sich als Sicherheits-Apps

IT-Sicherheitsforscher haben eine neue Angriffswelle auf Android-Nutzer aufgedeckt. Kriminelle verstecken gefährliche Spionage-Trojaner gezielt in gefälschten Sicherheits- und Notfall-Apps. Das belegen aktuelle Berichte der Cybersicherheitsunternehmen Acronis und CloudSEK von Anfang März.

Die Angreifer nutzen die Angst der Nutzer vor Viren oder physischen Bedrohungen aus. Wer unvorsichtig handelt, lädt sich so schwerwiegende Malware herunter, die Bankdaten stiehlt und das gesamte Gerät überwacht.

Da Kriminelle immer raffiniertere Methoden nutzen, um Android-Geräte zu infiltrieren, ist ein proaktiver Schutz der eigenen Daten unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie WhatsApp, Online-Banking und Co. effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Gefälschte Raketen-Warn-App spioniert Nutzer aus

Die jüngste Angriffswelle zwischen dem 3. und 7. März zeigt die Skrupellosigkeit der Täter. Laut Acronis und CloudSEK verbreiten Kriminelle eine trojanisierte Version der Raketen-Warn-App "RedAlert". Die Kampagne zielt primär auf Nutzer im Nahen Osten ab.

Die Methode ist perfide: Nutzer erhalten SMS-Nachrichten, die angeblich von offiziellen Behörden stammen. Darin wird behauptet, die aktuelle Warn-App habe eine Fehlfunktion und müsse dringend aktualisiert werden. Ein Link leitet die Opfer auf eine externe Website zum Download einer Installationsdatei.

Die manipulierte App funktioniert nach der Installation tatsächlich einwandfrei und liefert Warnmeldungen. Im Hintergrund fordert sie jedoch weitreichende Berechtigungen an – für Zugriff auf SMS, Kontakte und den genauen Standort. Gewährt der Nutzer diese Rechte, beginnt die systematische Überwachung.

"TrustBastion": Vom Antivirus zum Fernsteuerungs-Trojaner

Dass sich Malware als Schutzsoftware tarnt, ist ein wachsender Trend. Erst im Februar deckten Analysten von Bitdefender eine massive Kampagne unter dem Namen "TrustBastion" auf. Eine angebliche Sicherheits-App versprach kostenlosen Schutz vor Phishing und Malware.

Die Verbreitung erfolgte über aggressive Werbeeinblendungen und Pop-ups. Diese suggerierten den Nutzern fälschlicherweise, ihr Smartphone sei bereits infiziert. Aus Angst vor Datenverlust luden viele die angebliche Rettung herunter.

Nach der Installation entpuppte sich die Software als sogenannter Dropper. Die App forderte ein zwingendes Update an – mit einer Benutzeroberfläche, die täuschend echt den Systemmeldungen von Google Play nachempfunden war. Stimmte der Nutzer zu, wurde ein Remote Access Trojaner (RAT) installiert. Dieser ermöglichte die vollständige Fernsteuerung des Geräts.

So umgehen die Trojaner Android-Sicherheitsmechanismen

Sowohl die RedAlert- als auch die TrustBastion-Kampagne zeichnen sich durch ein hohes technisches Niveau aus. Ein zentrales Element ist das Sideloading, bei dem Apps an den offiziellen App-Stores vorbei installiert werden.

Die RedAlert-Malware nutzt komplexe Verschleierungstaktiken. Sie gaukelt dem System ein gefälschtes, offizielles Zertifikat aus dem Jahr 2014 vor und manipuliert die Anzeige, sodass es scheint, als stamme die App aus dem Google Play Store. Ein Teil der Schadsoftware wird erst dynamisch in den Arbeitsspeicher geladen – statische Virenscanner schlagen so oft keinen Alarm.

Bei der TrustBastion-Kampagne zeigten sich die Angreifer ebenfalls innovativ. Sie hosteten ihre Schadsoftware auf der renommierten KI-Entwicklerplattform Hugging Face. Da der Datenverkehr zu solchen etablierten Plattformen als vertrauenswürdig gilt, konnte die Malware unbemerkt auf die Geräte gelangen.

Viele Android-Nutzer übersehen kritische Sicherheitslücken, die über einfache Software-Updates hinausgehen. Erfahren Sie in diesem kompakten Leitfaden, wie Sie mit geprüften Apps und automatischen Prüfungen eine häufig unterschätzte Lücke schließen. Kostenloses Android-Sicherheitspaket jetzt anfordern

Warum fallen so viele Nutzer auf die Täuschung herein?

Branchenexperten sehen eine deutliche Verschiebung der Angriffsvektoren. Während Google die technischen Hürden für Malware erhöht, fokussieren sich Cyberkriminelle verstärkt auf den Faktor Mensch.

Die Manipulation durch Social Engineering erweist sich als äußerst effektiv. Das Versprechen von Sicherheit – sei es der Schutz vor einem Virus oder die Warnung vor einer physischen Bedrohung – senkt die natürliche Skepsis der Nutzer. Sind Anwender in Sorge, ignorieren sie eher Warnmeldungen des Betriebssystems und erteilen weitreichende Berechtigungen.

Besonders gefährlich macht diese Kampagnen die Kombination aus emotionalem Druck und technischer Tarnung. Die Kriminellen nutzen aktuelle Krisen oder die generelle Angst vor Cyberkriminalität gezielt aus. Das Abgreifen von SMS-Nachrichten dient häufig dazu, Zwei-Faktor-Authentifizierungs-Codes abzufangen – und so direkten Zugriff auf Bankkonten zu erlangen.

Wie können sich Nutzer schützen?

Analysten gehen davon aus, dass die Zahl der trojanisierten Sicherheits-Apps weiter steigen wird. Der wichtigste Schutzmechanismus besteht darin, das Sideloading von Apps strikt zu vermeiden. Laden Sie Anwendungen ausschließlich über offizielle Kanäle wie den Google Play Store herunter.

Warnungen des Systems vor unbekannten Quellen sollten niemals ignoriert werden. Bei SMS-Nachrichten, die zur Installation von Updates auffordern, ist höchste Vorsicht geboten – selbst wenn der Absender offiziell erscheint. Klicken Sie keine Links in solchen Nachrichten an.

Beziehen Sie Updates stets direkt über die integrierten Update-Funktionen des Betriebssystems oder des offiziellen App-Stores. Besteht der Verdacht auf eine Infektion mit einer tiefgreifenden Malware wie dem RedAlert-Trojaner, empfehlen Experten meist das vollständige Zurücksetzen des Smartphones auf Werkseinstellungen.