FvncBot: Neuer Banking-Trojaner schockt Sicherheitsexperten

Eine hochentwickelte Android-Malware mit völlig eigenem Code versetzt Europas Cybersecurity-Branche in Alarmbereitschaft. Der Banking-Trojaner “FvncBot” kombiniert Fernsteuerung, Live-Video-Streaming und gefälschte Login-Masken zu einem gefährlichen Cocktail – und könnte erst der Anfang sein.

Entdeckt von Forschern bei Intel 471 und diese Woche in mehreren Sicherheitsberichten detailliert analysiert, unterscheidet sich FvncBot fundamental von der Masse aktueller Android-Schädlinge. Während die meisten Banking-Trojaner auf geleaktem Code alter Malware-Familien wie Ermac oder Hook basieren, wurde FvncBot komplett neu entwickelt. Das deutet auf einen besorgniserregenden Trend hin: Professionelle Entwickler steigen Ende 2025 wieder aktiv ins Mobile-Malware-Geschäft ein.

Die erste Angriffswelle, die Intel 471-Forscher am 25. November dokumentierten, nutzt raffinierten Social-Engineering-Betrug. Ziel sind zunächst Kunden der mBank – einer der größten polnischen Finanzinstitutionen.

Die Schadsoftware tarnt sich als legitime Sicherheitsanwendung namens “Klucz bezpieczeństwa mBank” (Sicherheitsschlüssel mBank). Diese App fungiert als Dropper: Nach der Installation fordert sie umfangreiche Berechtigungen, angeblich für ihre Sicherheitsfunktionen. Tatsächlich lädt sie im Hintergrund die eigentliche FvncBot-Schadsoftware nach und installiert diese.

Passend zum Thema Android-Malware — viele Angriffe starten über gefälschte “Sicherheits”-Apps, die nach der Installation heimlich Schadcode nachladen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android: App‑Quellen prüfen, Berechtigungen einschränken, regelmäßige Updates, sichere Authentifizierung und Anti‑Phishing‑Verhalten. Mit klaren Schritt‑für‑Schritt‑Anleitungen und einer praktischen Checkliste reduzieren Sie das Risiko, Opfer von Banking‑Trojanern wie FvncBot zu werden. Jetzt kostenloses Android‑Sicherheitspaket anfordern

Diese zweistufige Infektion hilft der Malware, sowohl App-Store-Scanner als auch Antiviren-Lösungen auf dem Gerät zu umgehen. Sicherheitsanalysten warnen: Die aktuelle Kampagne konzentriert sich zwar auf Polen, doch der modulare Aufbau erlaubt den Angreifern eine schnelle Anpassung. In den kommenden Wochen könnten andere europäische Länder oder Nordamerika ins Visier geraten – mit gefälschten Apps deutscher Sparkassen, österreichischer Raiffeisen-Banken oder Schweizer Kantonalbanken.

Unter der Haube: Ein Arsenal für Profis

FvncBot hebt sich durch technische Raffinesse von der Masse ab. Wie Analysen von Freitag zeigen, wurde der Code komplett neu geschrieben – keine Spur vom üblichen “Copy-Paste”-Ansatz minderwertiger Cyberkrimineller.

Die Malware verfügt über ein beeindruckendes Funktionsspektrum:

Hidden VNC (HVNC): Das Herzstück ermöglicht Angreifern die unsichtbare Fernsteuerung infizierter Geräte. Durch eine virtuelle Sitzung können Hacker Apps öffnen, navigieren und tippen, während das Smartphone des Opfers gesperrt oder im Ruhezustand scheint.

Echtzeit-Bildschirm-Streaming: Der Trojaner nutzt H.264-Videokompression, um den Bildschirminhalt live an Server der Kriminellen zu übertragen. Banking-Sitzungen werden in Echtzeit mitgeschnitten – inklusive Zugangsdaten und Kontoständen.

Keylogger und Overlay-Angriffe: FvncBot missbraucht Androids Bedienungshilfen-Dienste, um jeden Tastenanschlag zu protokollieren. Zusätzlich blendet die Malware gefälschte Login-Fenster über echte Banking-Apps ein – sogenannte “Web Injects”. Ahnungslose Nutzer geben ihre Zugangsdaten direkt an die Angreifer weiter.

Verschleierungstaktiken: Die “apk0day”-Verbindung

Um Entdeckung und Analyse zu erschweren, setzen die FvncBot-Betreiber auf professionelle Verschleierungstechniken. Berichten zufolge nutzt die Malware “apk0day” – einen kommerziellen Verschlüsselungsdienst des Anbieters “GoldenCrypt”.

Dieser Service verschlüsselt den Schadcode und macht es automatisierten Sicherheitssystemen erheblich schwerer, die Schadsoftware zu analysieren oder ihre Signatur zu erkennen. Die Nutzung eines kostenpflichtigen Obfuskations-Dienstes deutet auf gut finanzierte, organisierte Hintermänner hin. FvncBot ist kein Gelegenheits-Hack, sondern ein professionelles Geschäftsmodell.

Die Kommunikation mit den Kommando-Servern erfolgt über WebSocket und Firebase Cloud Messaging (FCM). Diese Architektur ermöglicht bidirektionale Echtzeitkommunikation: Angreifer können Befehle – etwa Gerät sperren, Audio stummschalten oder bestimmte Apps starten – mit minimaler Verzögerung ausführen.

Was bedeutet das für die Bedrohungslage?

FvncBots Auftauchen markiert einen Wendepunkt in der mobilen Bedrohungslandschaft 2025. Die vergangenen zwei Jahre dominierten Varianten geleakter Quellcodes wie Cerberus, Hydra und Ermac den Android-Trojaner-Markt. Eine Malware-Familie mit komplett eigenem Code signalisiert: Fähige Entwickler kehren zurück, möglicherweise um die spezifischen Abwehrmechanismen zu umgehen, die Sicherheitsanbieter gegen die bekannten Familien aufgebaut haben.

“Original-Code ist ein zweischneidiges Schwert für Verteidiger”, erklärt ein Cybersecurity-Analyst in einem Freitags-Briefing. “Wir können nicht auf historische Signaturen zurückgreifen. Andererseits deutet es auf eine kleinere, vorsichtigere Betreibergruppe hin. Die sofortige Integration von HVNC und fortgeschrittenen Streaming-Funktionen zeigt jedoch: Das ist keine Prototyp-Malware, sondern von Anfang an eine ausgereifte Bedrohung.”

Die Fokussierung auf Polen entspricht einem bekannten Muster: Ausgeklügelte Banking-Trojaner “testen” häufig in spezifischen regionalen Märkten, bevor sie globale Kampagnen starten.

Ausblick: Was kommt als Nächstes?

Sicherheitsexperten rechnen mit rasanter FvncBot-Evolution. Angesichts des modularen Designs und der professionellen Verschleierung dürften die Betreiber bald Zugang zur Malware oder Botnet-Daten an andere Cyberkriminelle verkaufen – das bekannte Malware-as-a-Service-Modell (MaaS).

Nutzer sollten jede vermeintliche “Sicherheitsaktualisierung” oder “Authentifizierungs-App” kritisch hinterfragen, die nicht direkt aus dem Google Play Store stammt. Banken fordern Kunden niemals auf, separate Sicherheits-APKs von Drittanbieter-Websites herunterzuladen. Während die Weihnachtseinkaufs-Saison ihren Höhepunkt erreicht, erwarten Experten eine Zunahme solcher Social-Engineering-Angriffe. Wachsamkeit ist für Mobile-Banking-Nutzer weltweit entscheidend.

PS: Nutzen Sie Online‑Banking oder Zahlungs-Apps auf dem Smartphone? Dieses Gratis‑Paket zeigt praxisnahe Einstellungen, mit denen Sie Ihr Android ohne teure Zusatz‑Apps deutlich sicherer machen – inklusive Checkliste für sichere App‑Installation, Berechtigungskontrolle und automatische Updates. Holen Sie sich den Ratgeber als PDF per E‑Mail und setzen Sie die wichtigsten Maßnahmen sofort um. Jetzt gratis Android‑Schutzpaket per E‑Mail sichern