Wonderland-Malware: Android-Trojaner bedroht Bankkonten weltweit

Ein neuartiger Android-Trojaner namens „Wonderland“ leert über gestohlene SMS-Codes in Echtzeit Bankkonten. Die Schadsoftware verbreitet sich über manipulierte Telegram-Nachrichten von gekaperten Kontakten – eine gefährliche Mischung aus Technik und Social Engineering.

Das Besondere an der „Wonderland“-Kampagne ist ihr Verbreitungsweg. Die Cyberkriminellen nutzen gekaperte Telegram-Konten, um die Schadsoftware an die Kontaktliste der Opfer zu senden. Da die Dateien scheinbar von vertrauenswürdigen Personen stammen, ist die Erfolgsquote dieser Angriffe enorm hoch. Die Sicherheitsforscher von Group-IB, die die Kampagne analysiert haben, sprechen von einer „selbsterhaltenden Infektionsschleife“.

Die getarnten Schadprogramme – sogenannte Dropper – geben sich als harmlose Apps aus, etwa als Google-Play-Updates, Fotobetrachter oder sogar Hochzeitseinladungen. Erst nach der Installation entpacken sie lokal den eigentlichen Trojaner. Dieser Trick umgeht viele signaturbasierte Schutzmechanismen, da die initiale App unauffällig erscheint.

Neues Android-Handy – und plötzlich unsichere App‑Berechtigungen oder verdächtige Dateien von Kontakten? Viele Nutzer wissen nicht, welche Einstellungen ein Einfallstor für Trojaner sind, etwa SMS‑Zugriff oder Barrierefreiheitsdienste. Das kostenlose Android‑Startpaket bietet ein klares PDF plus einen 5‑teiligen E‑Mail‑Kurs, der Schritt für Schritt zeigt, wie Sie Ihr Gerät sicher einrichten, unnötige Rechte entfernen und gefährliche Dateien erkennen. Ideal für Einsteiger und ältere Nutzer. Jetzt Android-Startpaket & Schutz-Guide herunterladen

Echtzeit-Kontrolle: Vom gestohlenen Smartphone zum ferngesteuerten Bot

„Wonderland“ ist kein gewöhnlicher SMS-Stealer. Der Trojaner baut über das WebSocket-Protokoll eine permanente Zwei-Wege-Verbindung zum Server der Angreifer auf. Damit wird das infizierte Smartphone zum ferngesteuerten Bot.

Die Kriminellen können in Echtzeit beliebige Befehle ausführen: Sie senden SMS an weitere Kontakte, unterdrücken Systemwarnungen der Bank – und führen heimlich USSD-Abfragen durch. Letzteres ist besonders brisant, denn so können sie etwa Kontostände abfragen oder Rufumleitungen beim Mobilfunkanbieter einrichten, ohne dass der Nutzer etwas bemerkt.

Die größte Gefahr liegt jedoch in der Diebstahl von Zwei-Faktor-Authentifizierungscodes (2FA). Der Trojaner liest die SMS mit den Einmal-Passwörtern aus und unterdrückt die Benachrichtigung. So können Überweisungen in Sekundenschnelle autorisiert werden, bevor das Opfer den Betrug bemerkt.

Ein Millionengeschäft mit professioneller Cyberkriminalität

Hinter „Wonderland“ steckt ein hochprofessioneller Betrieb. Die Analyse von Group-IB legt nahe, dass die Gruppe ihr Geschäft wie ein Softwareunternehmen organisiert hat – mit eigenen Entwicklern, Operatoren und „Validierern“ für die gestohlenen Daten.

Allein 2025 soll das kriminelle Syndikat mit dem Trojaner etwa zwei Millionen Euro erbeutet haben. Die Malware verfügt zudem über ausgeklügelte Anti-Analyse-Techniken. Erkennt sie, dass sie in einer Sandbox oder einem Emulator läuft – also in Testumgebungen von Sicherheitsforschern – deaktiviert sie sich selbst, um unentdeckt zu bleiben.

Was bedeutet das für Nutzer in Deutschland und Europa?

Bislang konzentrieren sich die Angriffe auf Usbekistan und Zentralasien. Die Technik ist jedoch regional unabhängig. Experten warnen, dass das „Malware-as-a-Service“-Modell die Werkzeuge auch für Angriffe auf Europa oder Nordamerika verfügbar machen könnte. Besonders gefährdet sind Neobanken und Dienste, die stark auf SMS-basierte Authentifizierung setzen.

Die Erfolge der Kampagne könnten bereits Anfang 2026 Nachahmer inspirieren. Nutzer müssen mit einer Zunahme von Malware rechnen, die über Messenger wie Telegram oder WhatsApp verbreitet wird.

So schützen Sie sich vor der Gefahr

Die Sicherheitsempfehlungen sind klar, aber dringlicher denn je:
* Installieren Sie Apps nur aus offiziellen Quellen – also dem Google Play Store.
* Seien Sie skeptisch bei unerwarteten Dateien in Messengern, selbst wenn sie von bekannten Kontakten kommen.
* Überprüfen Sie regelmäßig App-Berechtigungen, insbesondere den Zugriff auf SMS und die Barrierefreiheitsdienste (Accessibility Services). Diese werden oft für bösartige Automatisierung missbraucht.

Für Banken und Finanzdienstleister unterstreicht der Vorfall die Notwendigkeit, von unsicheren SMS-Codes wegzukommen. Der Trend muss hin zu sichereren Alternativen wie App-basierter Authentifizierung, Biometrie oder Hardware-Security-Keys gehen, um sich gegen solche hochaggressiven Trojaner zu wappnen.

PS: Sie wollen Ihr Android-Handy rundum sicher nutzen, ohne technisches Vorwissen? Das Gratis‑Android‑Startpaket erklärt konkret, wie Sie SMS‑Zugriffe, Barrierefreiheits‑Dienste und Messenger‑Dateien prüfen, verdächtige Apps erkennen und tägliche Schutzmaßnahmen umsetzen. Zusätzlich erhalten Sie praktische Alltagstipps per E‑Mail, damit WhatsApp, Fotos und Bank‑Apps sicher bleiben. Kostenlos und sofort zum Download. Gratis Android-Ratgeber & E-Mail-Kurs anfordern