Arsink: Neuer Android-Trojaner infiziert 45.000 Geräte weltweit

Ein ausgeklügelter Spionage-Trojaner tarnt sich als Premium-Apps und kapert Smartphones. Die Schadsoftware nutzt legale Cloud-Dienste für ihre Angriffe – und entgeht so vielen Sicherheitsscannern.

Die mobile Bedrohungslage hat eine neue Dimension erreicht. Sicherheitsforscher der Firma Zimperium haben eine großangelegte Spionagekampagne aufgedeckt, die bereits rund 45.000 Android-Geräte in 143 Ländern kompromittiert hat. Der als „Arsink“ identifizierte Remote Access Trojan (RAT) verschafft Angreifern die vollständige Kontrolle über infizierte Smartphones. Die Malware tarnt sich als modifizierte Versionen beliebter Apps wie WhatsApp, Instagram oder YouTube und wird über inoffizielle Quellen verbreitet.

Tarnung als Premium-Apps lockt Nutzer in die Falle

Die Verbreitung erfolgt durch klassisches Social Engineering. In Telegram-Gruppen, auf Discord oder File-Hosting-Diensten wie MediaFire werben Angreifer mit angeblichen „Pro“-, „Premium“- oder „modded“-Versionen von über 50 bekannten Apps. Nutzer, die auf kostenlose Zusatzfunktionen oder eine werbefreie Nutzung hoffen, laden die schädlichen APK-Dateien manuell herunter und installieren sie – ein Vorgang, der als „Sideloading“ bekannt ist und den offiziellen Google Play Store umgeht.

Arbeitnehmer und Unternehmen unterschätzen, wie moderne Trojaner private Smartphones als Einfallstor in Firmennetze nutzen – Arsink ist ein aktuelles Beispiel. Dieses kostenlose E-Book fasst die wichtigsten Cyber-Security-Awareness-Trends zusammen und liefert sofort anwendbare Schutzmaßnahmen (z. B. Geräte-Policy, Play Protect-Einstellungen, Erkennung von sideloaded Apps). Mit Checklisten und praxisnahen Tipps für kleine und mittlere Unternehmen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Nach der Installation fordert die Schadsoftware umfangreiche Berechtigungen an. Wird diese gewährt, beginnt ihre heimliche Arbeit. Arsink tarnt sich geschickt: Oft verschwindet das App-Symbol vom Home-Bildschirm, während die Malware als Hintergrunddienst weiterläuft. Für den durchschnittlichen Nutzer wird sie damit nahezu unsichtbar – und kann ungestört agieren.

Totale Kontrolle: Vom Mikrofon-Abhören bis zum Datenklau

Die Fähigkeiten des Trojaners sind umfassend und zutiefst invasiv. Er fungiert als vollwertiges Spionagewerkzeug, das Angreifern Fernzugriff auf das kompromittierte Gerät gewährt. Die Malware kann SMS-Nachrichten, Anrufprotokolle, Kontaktlisten, Fotos und gespeicherte Dateien abgreifen. Besonders kritisch: Sie kann auch SMS mit Zwei-Faktor-Authentifizierungscodes (2FA) abfangen. Damit könnten Angreifer die Sicherheitsbarrieren von Bank- und anderen sensiblen Konten umgehen.

Doch Arsink kann mehr als nur Daten stehlen. Die Operatoren können das Mikrofon des Handys aktivieren, um Gespräche mitzuhören, oder die Kamera fernsteuern, um Fotos aufzunehmen. Das Smartphone wird zur Wanze in der Tasche des Opfers. Zudem ermöglichen Befehle das Tätigen von Anrufen, das Ein- und Ausschalten der Taschenlampe oder – im schlimmsten Fall – die komplette Löschung aller Daten auf dem externen Speicher.

Cloud-Dienste als Komplizen: Die Tarnkappen-Strategie

Was Arsink von anderer Android-Malware abhebt, ist seine „Cloud-native“-Architektur. Statt eigene Server zu nutzen, missbraucht der Trojaner vertrauenswürdige Cloud-Dienste wie Google Drive, Firebase und Telegram für seine Kommando- und Kontrollkommunikation sowie zum Abtransport gestohlener Daten. Dieser Datenverkehr verschmilzt mit normalem Netzwerk-Traffic und ist für viele Standard-Sicherheitstools nur schwer erkennbar.

Die globale Verbreitung zeigt klare Schwerpunkte. Die meisten Infektionen verzeichnet mit geschätzten 13.000 Fällen Ägypten, gefolgt von Indonesien (7.000) sowie dem Irak und Jemen (je 3.000). Auch in Pakistan, Indien und Bangladesch sind viele Nutzer betroffen. Für Unternehmen stellt der Trojaner ein erhebliches Risiko dar: Kompromittierte private Geräte, die auch für berufliche Zwecke genutzt werden, können zum Einfallstor in Firmennetze werden und Zugangsdaten oder interne Kommunikation preisgeben.

So schützen Sie sich vor der Spionage-Software

Google hat bestätigt, dass Arsink nicht über den offiziellen Play Store verbreitet wird. Der integrierte Schutzschild Google Play Protect kann bekannte Varianten der Malware jedoch erkennen und blockieren – auch wenn sie aus anderen Quellen installiert wurden.

Der wirksamste Schutz für Nutzer liegt im eigenen Verhalten. Apps sollten ausschließlich aus dem Google Play Store bezogen werden. Angebote für vermeintlich kostenlose Premium-Versionen sind immer verdächtig. Vor der Installation einer App lohnt ein kritischer Blick auf die angeforderten Berechtigungen: Warum braucht eine Taschenlampen-App Zugriff auf Kontakte oder SMS? Zudem sind regelmäßige Android-Updates und ein stets aktivierter Google Play Protect essenziell, um sich vor solch fortschrittlichen Bedrohungen zu schützen.

PS: Sie nutzen Ihr Smartphone auch beruflich? Dann ist dieser Gratis-Leitfaden hilfreich: Er erklärt, wie Angreifer Cloud-Dienste und Messenger für Command‑and‑Control missbrauchen und welche einfachen Regeln Mitarbeiter und IT sofort umsetzen sollten. Inklusive Vorlagen für Schulungen, Checklisten und Sofortmaßnahmen für Android-Geräte. Jetzt kostenlosen Cyber-Security-Guide sichern