Albiriox und FvncBot: Neue Banking-Trojaner übernehmen Smartphones komplett

Kriminelle steuern infizierten Android-Geräte fern und führen Überweisungen durch, als wären sie der Nutzer selbst. Zwei neue Malware-Familien haben diese Woche die mobile Sicherheit erschüttert – und machen klassische Schutzmaßnahmen wie 2FA praktisch wirkungslos.

Sicherheitsforscher schlagen Alarm: Fast zeitgleich wurden die hochgefährlichen Trojaner “Albiriox” und “FvncBot” identifiziert. Beide markieren einen gefährlichen Paradigmenwechsel in der Cyberkriminalität. Statt nur Zugangsdaten zu stehlen, übernehmen die Angreifer das komplette Gerät und führen Transaktionen in Echtzeit durch.

Die wohl brisanteste Entdeckung ist Albiriox. Berichte von Cleafy und Malwarebytes beschreiben einen hochentwickelten Remote Access Trojan (RAT), der auf “On-Device Fraud” setzt. Die Betrüger loggen sich nicht von fremden Computern ein – sie nutzen das Smartphone des Opfers als Werkzeug.

Viele Android-Nutzer unterschätzen, wie gefährlich On-Device-Fraud wirklich ist – Malware kann Bildschirmdaten streamen, Bedienungshilfen missbrauchen und Banking-Apps fernsteuern. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen gegen genau solche Angriffe: von sicheren Download-Praktiken über die richtigen Accessibility‑Einstellungen bis zur Absicherung Ihrer Banking‑Apps. Enthalten sind Checklisten, konkrete Schritt‑für‑Schritt‑Anleitungen und einfache Einstellungen, die Sie sofort umsetzen können – ganz ohne teure Zusatz‑Apps. Jetzt kostenloses Android-Schutzpaket sichern

Die technischen Fähigkeiten sind beängstigend: Albiriox streamt den Bildschirm live an die Angreifer und ermöglicht vollständige Fernsteuerung. Kriminelle öffnen Apps, scrollen durch Menüs, tätigen Eingaben und autorisieren Überweisungen. Das Opfer bemerkt davon oft nichts.

Besonders perfide: Da die Transaktion vom vertrauenswürdigen Gerät des Kunden ausgeht, schlagen die Betrugserkennungssysteme der Banken meist keinen Alarm. Die Malware wird im Dark Web als “Malware-as-a-Service” für rund 650 bis 720 US-Dollar monatlich vermietet. Selbst technisch unerfahrene Kriminelle können damit über 400 verschiedene Finanz- und Krypto-Apps weltweit angreifen.

FvncBot: Die neueste Bedrohung aus Polen

Gestern meldeten Forscher bereits den nächsten Fund: FvncBot basiert auf komplett neuem Code und ist keine Weiterentwicklung bekannter Schädlinge wie Ermac oder Hook.

Die Malware tarnte sich zunächst als Sicherheits-App der polnischen mBank (“Klucz bezpieczeństwa mBank”). Nach der Installation lädt FvncBot weitere schädliche Komponenten nach. Sobald der Nutzer der gefälschten App Zugriff auf die Bedienungshilfen gewährt, übernimmt der Bot die Kontrolle.

Die zeitliche Nähe beider Entdeckungen deutet auf eine massive Offensive gegen europäische Nutzer hin. Auch wenn FvncBot zunächst in Polen auftauchte – eine Ausbreitung in den deutschsprachigen Raum ist nur eine Frage der Zeit.

Supermarkt-Rabatte als Köder

Ein entscheidender Erfolgsfaktor ist die Qualität der Täuschung. Im Fall von Albiriox beobachteten Forscher gezielte Kampagnen für den DACH-Raum.

Eine identifizierte Methode: Die Verbreitung über gefälschte Apps bekannter Marken. Dazu zählte eine Fake-App der Supermarktkette Penny. Nutzern wurden exklusive Rabatte versprochen, wenn sie die App herunterladen. Da diese nicht im Google Play Store verfügbar war, wurden Opfer über Phishing-SMS dazu verleitet, die Installation aus “unbekannten Quellen” zuzulassen.

Einmal installiert, fordern die Apps aggressiv Zugriff auf die Bedienungshilfen (Accessibility Services). Diese Android-Funktion ist eigentlich für Menschen mit Behinderungen gedacht. Malware missbraucht diese Schnittstelle jedoch, um:

• Sich selbst Admin-Rechte zu geben
• Die Deinstallation zu verhindern
• 2FA-Codes im Hintergrund mitzulesen
• Den Bildschirm zu entsperren und Eingaben zu simulieren

Warum Banken machtlos sind

Der Shift zu On-Device Fraud stellt Banken vor immense Herausforderungen. “Früher reichte es, die Zugangsdaten zu stehlen”, erklären Analysten. “Heute wissen Angreifer, dass Banken Standortdaten und Geräte-IDs prüfen. Indem sie das Gerät des Opfers fernsteuern, umgehen sie diese Hürden komplett.”

Für die Bank sieht es so aus, als würde der Kunde zu Hause eine legitime Überweisung tätigen. Das Service-Modell beschleunigt diesen Trend: Entwickler verkaufen nicht nur die Software, sondern auch den Zugang zu infizierten Geräten. Eine Gruppe infiziert die Geräte, eine andere “mietet” den Zugang für den Diebstahl.

Der DACH-Raum ist aufgrund der hohen Online-Banking-Dichte und des Wohlstands ein primäres Ziel.

So schützen Sie sich

Kein Sideloading: Installieren Sie niemals Apps außerhalb des Google Play Stores – auch wenn Webseiten mit hohen Rabatten locken.

Vorsicht bei Bedienungshilfen: Seien Sie extrem skeptisch, wenn eine Shopping-App Zugriff auf die Accessibility Services verlangt. Dies ist fast immer ein Indikator für Schadsoftware.

Updates: Halten Sie Android und Banking-Apps aktuell.

Biometrie: Nutzen Sie Fingerabdruck oder FaceID für Transaktionen. Diese sind schwerer per Fernsteuerung zu umgehen als PINs.

Die Vorweihnachtszeit bietet Kriminellen ideale Bedingungen. Viele Menschen erwarten Paketbenachrichtigungen oder Rabattaktionen. Google Play Protect wurde zwar aufgerüstet, um Bedrohungen in Echtzeit zu erkennen – doch der menschliche Faktor bleibt das schwächste Glied. Gesundes Misstrauen ist derzeit der beste Virenschutz.

Übrigens: Diese 5 Maßnahmen machen Ihr Android‑Smartphone spürbar sicherer – Tipp 3 schließt eine Lücke, die Kriminelle bei On‑Device‑Fraud gezielt ausnutzen. Der Gratis‑Ratgeber zeigt praxisnah, wie Sie Sideloading und Phishing‑SMS vermeiden, Bedienungshilfen sicher prüfen, Biometrie sinnvoll einsetzen und Ihre Banking‑Apps schützen. Ideal für alle, die häufig online bezahlen oder Rabatte per App nutzen. Holen Sie sich die Anleitung mit Checkliste. Gratis-Sicherheits-Ratgeber herunterladen