Android-Malware „TrustBastion“ tarnt sich als Antiviren-App

Eine neue Android-Malware namens „TrustBastion“ greift gezielt Bankdaten ab. Die Schadsoftware tarnt sich als Sicherheits-App und nutzt raffinierte Täuschungsmanöver. Entdeckt wurde die Kampagne von Sicherheitsforschern des Unternehmens Bitdefender.

So lockt die Schadsoftware Nutzer in die Falle

Der Angriff beginnt mit aggressiver Werbung oder Pop-ups. Diese sogenannte Scareware gaukelt eine Smartphone-Infektion vor und drängt zur Installation der angeblichen Lösung „TrustBastion“. Die erste App ist harmlos – ein sogenannter Dropper.

Kurz nach der Installation fordert die App ein „kritisches Update“ an. Das Fenster imitiert täuschend echt Google Play. Wer zustimmt, lädt im Hintergrund die eigentliche Schadsoftware nach. Der Download erfolgt verschleiert über die seriöse KI-Plattform Hugging Face, was viele Sicherheitssysteme nicht alarmiert.

Trojaner greift über Bedienungshilfen an

Die nachgeladene Malware tarnt sich als Systemdienst „Phone Security“ und fordert weitreichende Rechte. Ein zentraler Hebel ist der Missbrauch der Android-Bedienungshilfen. Diese gewähren tiefen Zugriff auf die Benutzeroberfläche.

• Die Malware liest alle Bildschirminhalte mit.
• Sie zeichnet jede Tastatureingabe auf.
• So erbeutet sie PINs, Passwörter und Zugangsdaten für Banking-Apps, Messenger und Zahlungsdienste.

Es handelt sich um einen Remote Access Trojaner (RAT), der die erbeuteten Daten an Server der Angreifer sendet. Von dort aus können auch neue Befehle an das infizierte Gerät gesendet werden.

Tausende Varianten umgehen Virenscanner

„TrustBastion“ ist technisch raffiniert und schwer zu erkennen. Die Angreifer setzen auf serverseitige Polymorphie: Ihr Server generiert alle 15 Minuten eine leicht veränderte Variante der Malware.

Innerhalb eines Monats entstanden so über 6.000 einzigartige Varianten. Für klassische, signaturbasierte Virenscanner ist die Malware dadurch ein flüchtiges Ziel, dessen „Fingerabdruck“ sich ständig ändert.

Wie kann man sich schützen?

Google betont, dass keine Apps mit dieser Malware im Play Store gefunden wurden. Die Hauptgefahr geht von Installationen aus unbekannten Quellen aus. Trotz des integrierten Schutzes Play Protect ist Wachsamkeit geboten.

Die wichtigsten Schutzmaßnahmen für Nutzer:
* Apps nur aus dem offiziellen Google Play Store installieren.
* Die Option „Installation aus unbekannten Quellen“ deaktiviert lassen.
* App-Berechtigungen kritisch prüfen – besonders den Zugriff auf Bedienungshilfen.
* Update-Aufforderungen außerhalb des Play Stores sind ein Alarmzeichen.
* Regelmäßig System-Updates installieren.

Wer sich vor mobilen Angriffen wie „TrustBastion“ schützen möchte, findet praxisnahe Schutzmaßnahmen und aktuelle Trends in einem kostenlosen Cyber‑Security‑E‑Book. Es erklärt, wie Sie Scareware, Phishing und Schadsoftware erkennen, welche Schutzmaßnahmen für Smartphones sinnvoll sind und welche rechtlichen/technischen Änderungen Sie beachten sollten. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Bei Verdacht auf eine Infektion sollten Nutzer eine mobile Sicherheitslösung nutzen, verdächtige Apps sofort deinstallieren und Passwörter wichtiger Dienste ändern.