NexusRoute: Android-Trojaner nutzt GitHub für Phishing-Angriffe

Ein hochkomplexer Android-Trojaner namens NexusRoute alarmiert Sicherheitsexperten. Die Malware nutzt GitHub-Infrastrukturen für Phishing-Portale und demonstriert eine neue Stufe der Professionalisierung im Cybercrime-Sektor.

Sicherheitsforscher veröffentlichten heute Details zur Operation. Der Trojaner zielt auf die vollständige Übernahme von Smartphones und das Leerräumen von Bankkonten ab. Besonders alarmierend: Die Angreifer missbrauchen die legitime Entwickler-Plattform GitHub, um ihre Phishing-Seiten zu hosten. Diese Taktik umgeht viele herkömmliche Sicherheitsfilter.

Anders als klassische Malware setzt NexusRoute auf eine hybride Strategie. Die Angreifer erstellen täuschend echte Phishing-Portale, die offizielle Webseiten imitieren. In der aktuellen Welle geben sie sich als indische Verkehrsbehörden aus, um Nutzer zur Zahlung vermeintlicher Bußgelder zu drängen.

Der entscheidende Schritt folgt beim Versuch, einen Beleg herunterzuladen: Die Opfer werden aufgefordert, eine vermeintliche Service-App zu installieren. Diese App ist der NexusRoute-Trojaner. Da die Phishing-Seiten auf GitHub Pages gehostet werden, genießen die Links bei vielen Sicherheitsfiltern zunächst einen Vertrauensvorschuss.

Viele Android-Nutzer übersehen genau diese 5 Sicherheitsmaßnahmen – und genau solche Lücken machen Angriffe wie NexusRoute möglich. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Play Protect und automatische Updates richtig nutzen, App‑Quellen prüfen, Berechtigungen streng einschränken und SMS‑Abfangversuche verhindern. Praktische Checklisten helfen, Phishing‑Portale und gefälschte Installations‑Aufforderungen zuverlässig zu erkennen. Gratis‑Sicherheitspaket: 5 Schutzmaßnahmen für Android herunterladen

Technische Analyse: Ein “Schweizer Taschenmesser” für Betrüger

NexusRoute ist ein Remote Access Trojaner (RAT), der speziell für Finanzbetrug entwickelt wurde. Die Malware verfügt über einen mehrstufigen Lademechanismus, der die eigentliche Schadsoftware erst nach der Installation nachlädt. Das erschwert die Erkennung erheblich.

Zu den verifizierten Fähigkeiten gehören:
* Vollständige Fernsteuerung: Angreifer können das Gerät in Echtzeit bedienen.
* SMS-Interception: Abfangen von Einmalpasswörtern für Banktransaktionen.
* Keylogging & Overlay-Angriffe: Aufzeichnung von Eingaben und Einblenden gefälschter Login-Fenster.
* Persistenz: Die Malware verankert sich tief im System und bleibt selbst nach einem Neustart aktiv.

Ein besonders perfides Detail ist die Nutzung von Native Code (JNI). Teile des Schadcodes sind in C/C++ geschrieben, was die Analyse durch Sicherheitsforscher massiv erschwert.

Kontext: Teil einer globalen Malware-Welle

Die Enthüllung von NexusRoute reiht sich in einen besorgniserregenden Trend zum Jahresende 2025 ein. Erst in der vergangenen Woche warnten Experten vor ähnlichen Bedrohungen. Diese Häufung deutet darauf hin, dass Cyberkriminelle ihre Taktiken für das Weihnachtsgeschäft hochgefahren haben.

Brancheninsider sprechen von einer “Professionalisierung”. NexusRoute wird als komplexes “Malware-as-a-Service”-Framework betrieben. Die Infrastruktur umfasst laut Analysen über 30 identifizierten GitHub-Repositories.

Obwohl der aktuelle Fokus auf Südasien zu liegen scheint, warnen europäische Sicherheitsbehörden vor Leichtsinn. Die Technik ist universell einsetzbar und könnte binnen Stunden für Angriffe auf europäische Bankkunden adaptiert werden.

Experten warnen vor “Sideloading”

Die wichtigste Verteidigungslinie bleibt das Nutzerverhalten. NexusRoute kann nur infizieren, wenn der Nutzer die Installation von Apps aus “unbekannten Quellen” explizit erlaubt.

“Die Qualität dieser Phishing-Portale ist mittlerweile so hoch, dass selbst tech-affine Nutzer getäuscht werden können”, erklärt ein Sicherheitsanalyst. “Keine legitime Behörde wird Sie jemals bitten, eine Datei direkt von einer Webseite herunterzuladen und manuell zu installieren.”

Ausblick: Ein Katz-und-Maus-Spiel

Für die kommenden Tage wird erwartet, dass GitHub massiv gegen die identifizierten Repositories vorgeht. Die Erfahrung zeigt jedoch, dass die Akteure schnell reagieren dürften.

Es ist davon auszugehen, dass wir kurzfristig Variationen der Malware sehen werden. Für Android-Nutzer gilt mehr denn je: Updates installieren, Play Protect aktiviert lassen und bei jeder Aufforderung zur manuellen App-Installation extrem skeptisch sein.

Erste Indikatoren deuten darauf hin, dass es sich um eine der technisch ausgereiftesten Kampagnen des Jahres handelt.

PS: Nach Fällen wie NexusRoute sollten Sie Ihr Smartphone sofort härten. Dieser kostenlose Leitfaden liefert eine kompakte Checkliste mit sofort umsetzbaren Einstellungen, erklärt sichere Verhaltensregeln gegen Sideloading und zeigt, wie Sie verdächtige GitHub‑Links erkennen. Ideal für alle, die Mobile‑Banking und persönliche Daten schützen wollen. Jetzt Gratis‑Ratgeber für Android‑Schutz anfordern