Android: Zwei Zero-Day-Lücken aktiv unter Beschuss

Google schließt heute über 100 Sicherheitslücken in Android. Besonders brisant: Zwei Schwachstellen werden bereits aktiv angegriffen. Gleichzeitig breitet sich mit “Albiriox” eine neue Banking-Malware aus, die über 400 Apps im Visier hat. Für Millionen Nutzer wird der 5. Dezember zum kritischen Stichtag.

Das Dezember-Update ist verfügbar – und bringt eines der umfangreichsten Sicherheitspakete des Jahres mit. Pixel-Besitzer können es bereits installieren, Samsung rollt die Patches für seine Flaggschiffe aus. Doch während Google nachbessert, formiert sich auf der Gegenseite eine neue Bedrohung.

Zwei Zero-Days im aktiven Einsatz

Google bestätigt: Zwei der geschlossenen Lücken werden bereits gegen echte Nutzer eingesetzt. Die kritischsten Fixes betreffen das Android Framework:

• CVE-2025-48633: Ermöglicht unbefugten Zugriff auf sensible Nutzerdaten
• CVE-2025-48572: Erlaubt bösartigen Apps, tiefgreifende Systemkontrolle zu erlangen

Das Patch-Level “2025-12-05” zeigt an, ob ein Gerät geschützt ist. Wer diese Zahlenfolge in seinen Sicherheitseinstellungen nicht findet, ist verwundbar. Samsung priorisiert die Galaxy S25-Reihe und das Galaxy A34 für den Rollout.

Passend zum Thema Android-Sicherheit: Viele Nutzer übersehen einfache Einstellungen, mit denen Malware-Angriffe wie Albiriox verhindert werden können. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone – inklusive prüfbarer Checkliste, welche Berechtigungen Sie wirklich zulassen sollten und wie Sie gefälschte Apps erkennen. Jetzt gratis Android-Sicherheits-Paket herunterladen

“Albiriox”: Wenn die Bank-App zum Feind wird

Während Google die Lücken schließt, schlägt die Malware-Front zurück. Ende November identifizierten Forscher von Cleafy eine neue Generation Banking-Trojaner: Albiriox. Die Malware wird im Darknet als Service vermietet und attackiert über 400 Apps – von klassischen Banking-Apps bis zu Krypto-Wallets.

Was macht Albiriox so gefährlich? Die Malware umgeht biometrische Sperren, testet gekaperte Konten mit Miniüberweisungen (“Penny-Dropping”) und kommuniziert blitzschnell über Web-Sockets mit ihren Kontrollservern. Klassische Virenscanner haben kaum eine Chance.

Die Verbreitung läuft über gefälschte Apps, die sich als Chrome-Browser oder PDF-Reader tarnen. Einmal installiert, übernimmt Albiriox die Kontrolle – und räumt Konten systematisch leer.

“ToxicPanda” terrorisiert Europa

Albiriox ist nicht allein. Der Banking-Trojaner ToxicPanda fokussiert sich gezielt auf europäische Nutzer. Italien, Portugal und der deutschsprachige Raum stehen im Zentrum der Angriffe.

ToxicPanda setzt auf “On-Device Fraud”: Überweisungen werden direkt vom Gerät des Opfers getätigt. Für Banken sieht das wie eine legitime Transaktion aus – gleiche IP, gleicher Device-Fingerprint, gleiche Gewohnheiten. Die Betrugserkennungssysteme schlagen nicht an.

Besonders perfide: Varianten wie “FakeCall” fangen Anrufe an die Bank ab und leiten sie zu den Betrügern um. Das Opfer glaubt, mit dem Kundenservice zu sprechen, während im Hintergrund das Konto geplündert wird.

Das perfekte Sturm-Szenario

Die Kombination ist explosiv: Ungepatchte Zero-Days treffen auf hochentwickelte Malware. Angreifer könnten die Lücken CVE-2025-48633 und CVE-2025-48572 nutzen, um Trojaner wie Albiriox noch einfacher zu verankern.

“Wir sehen ein Wettrüsten zwischen Plattformanbietern und Malware-Autoren”, warnen Branchenanalysten. Während Google mit Play Protect und schnelleren Update-Zyklen reagiert, professionalisieren sich Kriminelle durch Malware-as-a-Service-Modelle.

Für Banken wird die Lage kritisch. Klassische Sicherheitskonzepte wie SMS-TANs oder App-Freigaben versagen, wenn der Angreifer das Gerät kontrolliert. Wer den zweiten Faktor besitzt, besitzt den Zugang.

Vorweihnachtszeit als Hochsaison

In den kommenden Wochen dürften die Angriffe zunehmen. Die Vorweihnachtszeit ist traditionell Hochsaison für Cyberkriminelle: Das E-Commerce-Volumen steigt, Nutzer sind unaufmerksamer, gefälschte Paket-Benachrichtigungen wirken glaubwürdiger.

So schützen Sie sich:

• Sofort nach Updates suchen (Einstellungen → Sicherheit & Datenschutz)
• Nur Apps aus offiziellen Stores installieren
• Berechtigungen kritisch prüfen – warum braucht ein PDF-Reader Zugriff auf Telefonie?
• Bei verdächtigen Transaktionen sofort die Bank kontaktieren
• Biometrische Authentifizierung aktivieren (auch wenn sie umgangen werden kann, erhöht sie die Angriffshürde)

Google und Samsung werden den Rollout in den nächsten Tagen massiv beschleunigen. Langfristig setzt die Industrie auf Hardware-basierte Sicherheitsschlüssel und verhaltensbasierte KI-Analysen, um echte Nutzer von automatisierten Skripten zu unterscheiden.

Bis dahin bleibt nur eins: Patch-Level prüfen, Update installieren, wachsam bleiben.

PS: Sie möchten keine Panik, sondern wirksame Schutzmaßnahmen? In diesem Gratis-Ratgeber erfahren Sie in klaren Schritten, wie Sie Ihr Android gegen Banking-Trojaner und gefälschte Apps sichern – inklusive sofort anwendbarer Checkliste für Updates, Berechtigungen und App-Quellen. Perfekt, wenn Sie Online-Banking oder PayPal auf dem Smartphone nutzen. Jetzt Sicherheitspaket für Android anfordern