Android-Malware: Gefälschte Updates kapern jetzt Smartphones

Eine neue Welle von Android-Malware tarnt sich als dringendes System-Update. Sicherheitsforscher warnen vor den Trojanern DroidLock und ClayRat, die aktuell Smartphones angreifen.

Die Opfer erhalten täuschend echte Benachrichtigungen wie “Kritische Sicherheitswarnung” oder “System-Update erforderlich”. Klicken sie darauf, installieren sie in Wirklichkeit Schadsoftware. Diese Angriffswelle zielt nicht mehr nur auf Daten ab, sondern auf die vollständige Übernahme der Geräte und Konten.

Der Trojaner DroidLock gaukelt Nutzern ein Black-Screen-Update vor. Ein gefälschter Ladebalken legt sich über den gesamten Bildschirm und zeigt “Installation läuft” an. In diesem Moment arbeitet die Malware im Hintergrund.

Gefälschte System‑Updates, Overlay‑Fenster und abgefangene SMS‑Codes sind heute Realität – und führen schnell zu Kontenverlust und teuren Beträgen. Das kostenlose Anti‑Phishing‑Paket zeigt in vier klaren Schritten, welche psychologischen Tricks Angreifer nutzen, wie Sie Phishing‑Mails und Overlay‑Angriffe erkennen und welche technischen Einstellungen sofort schützen. Für Privatnutzer und Unternehmen ein kompakter Notfall‑Leitfaden. Anti‑Phishing-Paket gratis herunterladen

Sie missbraucht Administratorrechte, um:
* Die Bildschirmkontrolle zu übernehmen.
* Den Nutzer durch Passwort-Änderung auszusperren.
* Daten an Server der Angreifer zu senden.

Oft droht DroidLock mit der Löschung aller Daten, wenn innerhalb von 24 Stunden kein Kontakt aufgenommen wird. Es handelt sich dabei jedoch meist um eine Erpressung ohne echte Verschlüsselung – die Sperre erfolgt über manipulierte Berechtigungen.

ClayRat: Der unsichtbare Banking-Trojaner

Parallel aktiv ist der weiterentwickelte Banking-Trojaner ClayRat. Seine Spezialität sind sogenannte Overlay-Attacken. Öffnet ein Nutzer seine Banking-App, schiebt ClayRat blitzschnell ein identisch aussehendes, gefälschtes Login-Fenster darüber.

Die eingegebenen Zugangsdaten landen direkt bei den Cyberkriminellen. Die aktuelle Variante geht noch weiter: Sie fängt SMS-Codes für die Zwei-Faktor-Authentifizierung (2FA) ab und unterdrückt deren Anzeige. Betroffene bemerken den Diebstahl oft erst bei unerklärlichen Abbuchungen.

Social Engineering: Der gefälschte Google-Anruf

Angreifer kombinieren die Malware mit raffinierter Psychologie. Ein häufiges Szenario:
1. Eine Push-Benachrichtigung warnt: “Versuchen Sie, Ihr Konto wiederherzustellen?”
2. Kurz darauf ruft eine KI-generierte Stimme an und gibt sich als “Google-Support” aus.
3. Der vermeintliche Mitarbeiter drängt zur Bestätigung der Benachrichtigung oder zur Herausgabe des 2FA-Codes – angeblich zum Schutz des Kontos.

In Wirklichkeit autorisiert das Opfer damit den Angreifer. Sicherheitsexperten betonen: Seriöse Unternehmen wie Google, Banken oder Amazon fordern niemals proaktiv Passwörter oder Bestätigungscodes am Telefon an.

Warum die Angriffe so erfolgreich sind

Die Malware missbraucht eine gut gemeinte Android-Funktion: die Bedienungshilfen. Diese sollen eigentlich Menschen mit Einschränkungen helfen, indem sie beispielsweise Bildschirminhalte vorlesen oder Taps automatisieren.

Bringen Angreifer Nutzer dazu, diese Rechte zu erteilen, erhält die Schadsoftware quasi Vollzugriff. Sie kann dann selbstständig Apps installieren, Benachrichtigungen lesen und Einstellungen ändern. Die gefälschten Warnungen sind technisch so ausgefeilt, dass sie selbst versierte Nutzer täuschen.

Für Unternehmen wird diese Bedrohung besonders kritisch. Über ein infiziertes Privatgerät im BYOD-Modell können Angreifer auch auf Firmennetzwerke, geschäftliche E-Mails und Authentifizierungs-Apps zugreifen.

So schützen Sie sich jetzt

Die Verteidigung beginnt mit gesunder Skepsis:
* Installieren Sie Apps nur aus dem Google Play Store.
* Hinterfragen Sie jede Berechtigung, besonders für Bedienungshilfen. Warum braucht eine Taschenlampen-App das?
* Misstrauen Sie Dringlichkeit. Echte Updates setzen Sie nicht mit Drohungen unter Zeitdruck.
* Nutzen Sie Passkeys, wo immer möglich. Sie sind resistenter gegen Phishing als Passwörter.
* Denken Sie nach, bevor Sie bestätigen. Legitime Dienste verlangen nie Codes am Telefon.

Das Katz-und-Maus-Spiel geht weiter. Für 2026 prognostizieren Experten noch ausgefeiltere, KI-gestützte Angriffe, die sich dynamisch anpassen können. Die wichtigste Sicherheitsbarriere bleibt das kritische Denken des Nutzers.

PS: Gerade bei BYOD‑Modellen drohen Angreifer über ein infiziertes Handy in Firmennetzwerke einzudringen. Das Anti‑Phishing‑Paket erklärt praxisnah, wie Sie mobile Geräte absichern, CEO‑Fraud erkennen und Mitarbeiter vor Social‑Engineering schützen. Mit Checklisten und umsetzbaren Maßnahmen können Sie Lücken sofort schließen. Jetzt Anti‑Phishing-Guide anfordern