deVixor: Android-Banking-Trojaner bedroht Konten mit Ransomware

Ein neuer Android-Banking-Trojaner namens deVixor kombiniert Datenklau, Fernsteuerung und Ransomware zu einer gefährlichen Bedrohung. Seit Oktober 2025 zielt die Kampagne gezielt auf Nutzer in Iran ab.

Die Sicherheitslage für Android-Nutzer hat sich erheblich verschärft. Der Remote Access Trojaner (RAT) deVixor hat sich von einem simplen SMS-Sammler zu einer All-in-One-Plattform für Finanzbetrug entwickelt. Sicherheitsforscher warnen vor dieser vielschichtigen Bedrohung, die seit Ende 2025 aktiv ist und bereits über 700 Malware-Varianten hervorgebracht hat. Die Schadsoftware wird über gefälschte Webseiten verbreitet, die seriöse Automobilunternehmen imitieren und Opfer mit unrealistischen Rabatten zum Download bösartiger APK-Dateien verleiten.

Vom Datenklau zur vollständigen Geräteübernahme

Die Entwicklung von deVixor zeigt einen beunruhigenden Trend zu immer raffinierterer Mobilfunk-Malware. Die frühen Versionen konzentrierten sich auf das Abfangen von SMS-Nachrichten. Die aktuellen Varianten missbrauchen jedoch den Android Accessibility Service, um tiefgreifende Kontrolle über das infizierte Gerät zu erlangen. Dies ermöglicht den Angreifern, Tastatureingaben zu protokollieren, Screenshots zu erstellen, SMS an Premium-Nummern zu senden und sogar die Deinstallation der App zu verhindern.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen — und werden so Opfer von Banking‑Trojanern, die SMS abgreifen und Accessibility‑Funktionen ausnutzen. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Android gegen Datenklau, bösartige APKs und SMS‑Abfang schützen: App‑Quellen prüfen, Berechtigungen kontrollieren, Play Protect nutzen und mehr. Praxisnah, leicht umsetzbar und speziell für Banking‑Szenarien wie deVixor konzipiert. Jetzt kostenloses Android-Sicherheits-Paket anfordern

Um unentdeckt zu bleiben, tarnt sich deVixor als gängige Anwendungen wie YouTube und deaktiviert Google Play Protect. Diese Tarnung, kombiniert mit der Fähigkeit, sich automatisch nach jedem Neustart zu aktivieren, macht die Schadsoftware besonders hartnäckig. Die Kampagne zielt gezielt auf Kunden großer iranischer Finanzinstitute wie Bank Melli Iran und nationaler Kryptobörsen ab.

Ein mehrdimensionales Finanzrisiko

Das Hauptziel von deVixor ist finanzieller Gewinn. Eine Kernfunktion ist das massenhafte Auslesen von SMS-Nachrichten. Die Malware kann bis zu 5.000 Textnachrichten scannen und mit regulären Ausdrücken kritische Finanzdaten wie Einmalkennwörter (OTPs) extrahieren. Diese Informationen dienen dazu, betrügerische Transaktionen durchzuführen und Konten zu übernehmen.

Zudem nutzt deVixor eine raffinierte Technik zum direkten Diebstahl von Login-Daten. Erzeugt werden gefälschte Bank-Benachrichtigungen. Tippt das Opfer darauf, lädt die Malware die echte Banking-Webseite in eine WebView-Komponente und injiziert bösartigen JavaScript-Code in die Login-Formulare. So werden Benutzernamen und Passwörter abgefangen und direkt an die Server der Angreifer gesendet. Diese Kombination aus SMS-Abfang und Credential-Harvesting umgeht effektiv die Zwei-Faktor-Authentifizierung.

Ransomware und moderne Kommandozentrale

Als weitere Eskalationsstufe enthält deVixor ein ferngesteuertes Ransomware-Modul. Auf Befehl der Angreifer kann die Malware den Bildschirm sperren und eine Lösegeldforderung anzeigen. Typischerweise werden 50 TRX (Tron) an eine spezifische Wallet-Adresse gefordert. Die Konfiguration wird lokal gespeichert, sodass die Sperre auch nach einem Neustart bestehen bleibt.

Die gesamte Operation wird über eine moderne Command-and-Control (C2)-Infrastruktur gesteuert. Die Angreifer nutzen Firebase für die Befehlsübermittlung und ein Telegram-basiertes Bot-System zur Administration. Dies ermöglicht die zentrale Verwaltung Hunderter infizierter Geräte. Die Nutzung legitimer Dienste hilft dem Datenverkehr, unerkannt im normalen Netzwerkverkehr unterzutauchen.

Trend zu umfassenden Kriminalplattformen

Das Auftauchen von deVixor ist symptomatisch für einen breiteren Trend: Mobile Banking-Malware entwickelt sich zu umfassenden kriminellen Plattformen. Im Gegensatz zu älteren Trojanern, die sich auf einen Angriffsvektor konzentrierten, kombinieren Bedrohungen wie deVixor mehrere Funktionen – Datendieb, Fernsteuerung und Erpressungssoftware – um den Profit pro Opfer zu maximieren. Die modulare Architektur und der aktive Entwicklungszyklus deuten darauf hin, dass es sich nicht um eine isolierte Kampagne handelt. Vielmehr ist deVixor ein gepflegter und erweiterbarer krimineller Service, der künftig auch auf andere Regionen oder Finanzinstitute ausgeweitet werden könnte.

Für Android-Nutzer unterstreicht diese Bedrohung die kritische Bedeutung von Cybersecurity-Hygiene. Die primäre Verteidigung bleibt, Apps nur aus offiziellen Quellen zu laden und bei unsolicitierten Links oder “zu guten” Angeboten äußerst misstrauisch zu sein. Nutzer sollten die Berechtigungen jeder neuen App genau prüfen, insbesondere den Zugriff auf Barrierefreiheitsdienste oder SMS-Leserechte.

PS: Schützen Sie Ihr Smartphone, bevor Sie auf einen gefälschten App‑Link klicken. Der Gratis‑Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone” zeigt kompakt, welche Einstellungen sofort Wirkung zeigen, wie Sie verdächtige APKs erkennen und welche Berechtigungen Sie konsequent prüfen sollten – ideal für alle, die Online‑Banking oder Zahlungs‑Apps nutzen. Gratis-Ratgeber jetzt herunterladen