Wonderland-Malware umgeht 2FA mit Echtzeit-Steuerung

Eine neue Android-Schadsoftware namens “Wonderland” fängt SMS-Bestätigungscodes in Echtzeit ab. Sicherheitsforscher von Group-IB warnen vor der hochgefährlichen Malware, die speziell entwickelt wurde, um die Zwei-Faktor-Authentifizierung (2FA) von Bankkonten auszuhebeln.

Die Malware gelangt über sogenannte Dropper-Apps auf die Geräte. Diese tarnen sich als harmlose Tools, etwa QR-Code-Scanner, und werden über Drittanbieter-Stores oder Telegram verbreitet. Nach der Installation lädt die App die eigentliche Schadsoftware nach.

Der Clou: “Wonderland” nutzt bidirektionale WebSocket-Kommunikation. Statt in Intervallen einen Server abzufragen, hält die Malware eine permanente Echtzeit-Verbindung offen. Angreifer können so Befehle ohne Verzögerung senden – ein entscheidender Vorteil, um ein zeitkritisches SMS-Einmalpasswort (TAN) abzufangen und sofort zu nutzen.

Gefährlich ist vor allem, dass “Wonderland” SMS‑TANs in Echtzeit abfängt – viele Nutzer erkennen Dropper‑Apps oder gefälschte Paketlinks zu spät. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie verdächtige Apps und Links erkennen, SMS‑ und App‑Berechtigungen prüfen und sofort handeln, wenn Sie eine Infektion vermuten. Praktische Checklisten und konkrete Erkennungsregeln helfen Ihnen, Ihr Konto besser zu schützen. Anti‑Phishing‑Paket jetzt gratis herunterladen

Unsichtbarer Diebstahl und virale Verbreitung

Die Malware agiert im Verborgenen. Sie unterdrückt gezielt Benachrichtigungen über eingehende SMS. Erhält das Opfer einen Bank-TAN, erscheint weder ein Signalton noch eine Meldung in der Statusleiste. Der Nutzer bekommt vom Diebstahl nichts mit.

Zudem besitzt “Wonderland” eine Funktion zur Lateralbewegung: Das infizierte Gerät versendet automatisch Spam-SMS an alle Kontakte. Diese Nachrichten, oft als wichtige Info von Bekannten getarnt, verbreiten die Malware wie ein Lauffeuer weiter.

Vom Regional-Test zur globalen Bedrohung

Erste massive Angriffe mit “Wonderland” verzeichneten die Forscher in Usbekistan, wo Kunden lokaler Banken ins Visier genommen wurden. Doch Experten sehen darin einen gefährlichen Testlauf.

Die Geschichte lehrt: Regionale Ausbrüche dienen Cyberkriminellen oft als Beta-Test für globale Kampagnen. Die modulare Struktur von “Wonderland” lässt sich leicht an Banking-Apps anderer Länder – auch in Deutschland – anpassen. Ähnliche Muster zeigten zuvor bereits Schadsoftware wie Teabot oder FluBot.

Das Wettrüsten der Technologien eskaliert

“Wonderland” steht für einen besorgniserregenden Trend: Angreifer setzen nicht mehr auf simples Phishing, sondern auf hochkomplexe Attacken gegen die Gerätearchitektur selbst. Sie nutzen fortschrittliche Techniken wie WebSockets oder missbrauchen Android-Bedienungshilfen (Accessibility Services), um sich Rechte zu erschleichen.

Die Entwicklung ähnelt der bei PC-Ransomware: Aus stümperhafter Erpressungssoftware wurde ein professionelles Dienstleistungsgeschäft (“Malware-as-a-Service”). Es ist wahrscheinlich, dass “Wonderland” im Darknet bereits an andere kriminelle Gruppen vermietet wird.

So schützen Sie sich jetzt

Experten rechnen damit, dass “Wonderland” in den kommenden Wochen auch im deutschsprachigen Raum auftaucht. Angreifer könnten den Trubel nach den Feiertagen nutzen und gefälschte Paketbenachrichtigungen oder Neujahrsgrüße als Köder verwenden.

Handlungsempfehlungen für Nutzer:
* Nur offizielle Quellen: Installieren Sie Apps ausschließlich aus dem Google Play Store. Deaktivieren Sie “Installation aus unbekannten Quellen” in den Einstellungen.
* Berechtigungen prüfen: Seien Sie extrem skeptisch, wenn eine simple App (z.B. Taschenlampe) Zugriff auf SMS oder Bedienungshilfen fordert. Das ist das Haupteinfallstor.
* Updates einspielen: Halten Sie Ihr Gerät mit den neuesten Android-Sicherheitsupdates aktuell.
* Bei Verdacht handeln: Bei ungewöhnlichem Akkuverbrauch oder unerwarteten SMS-Bestätigungen: Gerät vom Internet trennen und die Bank von einem anderen Telefon aus kontaktieren.

Sicherheitsfirmen arbeiten an Erkennungsmustern. Die beste Verteidigung bleibt jedoch die Wachsamkeit der Nutzer.

PS: Schützen Sie Ihr Smartphone jetzt proaktiv gegen Bedrohungen wie “Wonderland”. Das kostenlose Anti‑Phishing‑Paket liefert einen kompakten Leitfaden mit Erkennungsmustern, branchenspezifischen Gefahren und einer klaren 4‑Punkte‑Strategie zur Hacker‑Abwehr – ideal für schnelle, praktische Schutzmaßnahmen. Kostenloses Anti‑Phishing‑Paket sichern