Android-Malware Wonderland und Cellik zwingen Nutzer in den Safe Mode

Zwei neue Android-Malware-Varianten zwingen Nutzer in den abgesicherten Modus. Die Schädlinge “Wonderland” und “Cellik” tarnten sich als harmlose Apps und verbreiteten sich in den letzten Tagen massiv. Sicherheitsforscher schlagen Alarm.

Die Bedrohungen wurden von den Firmen Group-IB und iVerify identifiziert. Es handelt sich um sogenannte Dropper-Apps – scheinbar legitime Anwendungen, die erst nach der Installation ihren schädlichen Code nachladen. Betroffen sind Nutzer, die Apps aus unsicheren Quellen oder sogar manipulierte Anwendungen aus dem offiziellen Play Store geladen haben.

“Wonderland”: Der unsichtbare SMS-Dieb

Der Schädling “Wonderland” ist eine Weiterentwicklung der bekannten “WretchedCat”-Malware. Sein Ziel: der Diebstahl von Einmalpasswörtern und Bankdaten. Die Malware nutzt eine Echtzeit-Verbindung, um Befehle zu empfangen.

• Infektionsweg: Getarnt als “System-Updates” oder “Medien-Player”.
• Gefahr: Sie fängt SMS ab, noch bevor der Nutzer sie sieht, und unterdrückt Benachrichtigungen. So können Angreifer Transaktionen autorisieren, ohne Spuren zu hinterlassen.
• Tarnung: Wonderland erkennt, ob sie auf einem Analyse-Gerät läuft, und deaktiviert sich selbst, um Virenscannern zu entgehen.

Viele Android-Nutzer erkennen schädliche Apps oft zu spät – mit teils schweren Folgen. Ein kostenloses Android‑Starterpaket (PDF + 5‑teiliger E‑Mail‑Grundkurs) erklärt verständlich, wie Sie Ihr Smartphone sicher einrichten, verdächtige Apps erkennen und im Ernstfall sauber entfernen – inklusive Schritt‑für‑Schritt‑Anleitung für den abgesicherten Modus. Ideal für Einsteiger und ältere Nutzer, die schnell wieder Sicherheit wollen. Jetzt Android-Schutz-Paket sichern

“Cellik”: Der Trojaner zum Mieten

Noch beunruhigender ist “Cellik”. Diese Malware wird als Service angeboten – für nur 150 Dollar im Monat. Technisch unversierte Kriminelle können sie mieten und sofort einsetzen.

• Funktionsweise: Ein “One-Click APK Builder” injiziert Schadcode in legitime Apps.
• Fähigkeiten: Der Trojaner ermöglicht vollen Fernzugriff, zeichnet Tastatureingaben auf und blendet gefälschte Login-Masken über echte Banking-Apps.

Warum der Safe Mode jetzt die Rettung ist

Beide Malware-Varianten verankern sich tief im System. Deinstallationsversuche im normalen Modus blockieren sie oft, etwa durch das sofortige Schließen des Einstellungsmenüs. Der abgesicherte Modus (Safe Mode) ist daher oft der einzige Ausweg für Verbraucher.

In diesem Modus startet Android nur mit den werkseitigen System-Apps. Alle Drittanbieter-Anwendungen – und damit die Malware – werden gestoppt.

So entfernen Sie die Schädlinge im Safe Mode:

1. Aktivieren: Halten Sie die Ein-/Aus-Taste gedrückt. Tippen und halten Sie dann im Menü “Ausschalten”, bis “Im abgesicherten Modus starten” erscheint.
2. Identifizieren: Gehen Sie nach dem Neustart (erkennbar am Schriftzug “Abgesicherter Modus”) zu Einstellungen > Apps.
3. Entfernen: Deinstallieren Sie verdächtige Apps, die kurz vor den Problemen installiert wurden. “Wonderland” tarnt sich oft als systemnaher Dienst ohne Icon.
4. Rechte entziehen: Gehen Sie bei Problemen zu Einstellungen > Sicherheit > Geräte-Admin-Apps und entziehen Sie verdächtigen Apps dort ihre Rechte.

Ein gefährlicher Trend: Cyberkriminalität für alle

Die Entdeckung markiert einen gefährlichen Trend. “Wir sehen eine Verschiebung von komplexen Angriffen hin zu massenhaft verfügbaren Baukästen”, erklärt ein Analyst von Kaspersky. Die Malware “Frogblight”, die derzeit in der Türkei mit gefälschten Gerichts-Apps Nutzer angreift, folgt demselben Muster.

Im Vergleich zu früheren Bedrohungen wie “ToxicPanda” aus dem Jahr 2024 zeigen die neuen Varianten eine verbesserte Tarnung. Sie umgehen die Sicherheitsprüfungen des Play Stores, indem sie ihren schädlichen Code erst Tage nach der Installation nachladen.

Was kommt auf Nutzer zu?

Google reagiert bereits mit einem stillen Update für Google Play Protect. Die “Live Threat Detection” soll künftig speziell das Verhalten solcher Dropper erkennen. Bis das Update aber alle Geräte erreicht, bleibt die Wachsamkeit der Nutzer der wichtigste Schutz.

Experten erwarten für 2026 eine Zunahme von Angriffen auf vernetzte Heimgeräte. Der kürzlich entdeckte “Kimwolf”-Botnet, der über 1,8 Millionen Android-TV-Boxen infizierte, könnte ein Vorbote dieser Entwicklung sein.

PS: Viele Probleme lassen sich verhindern, wenn Sie das Smartphone von Anfang an sicher einrichten. Das kostenlose Android‑Starterpaket bietet eine kompakte PDF‑Anleitung und einen praxisnahen E‑Mail‑Kurs, der zeigt, wie Sie App‑Rechte prüfen, verdächtige Anwendungen erkennen und im Notfall sicher entfernen – inklusive abgesicherter Modus‑Anleitung. Tausende Einsteiger schätzen die leicht verständlichen Schritte. Android-Einsteiger-Guide gratis herunterladen