BeatBanker und PixRevolution: Neue Android-Banking-Trojaner kapern Echtzeit-Überweisungen

Zwei hochgefährliche Android-Schadprogramme infizieren Smartphones über gefälschte App-Stores und leiten Banküberweisungen in Echtzeit um. Die als BeatBanker und PixRevolution bekannten Trojaner markieren eine neue Eskalationsstufe der mobilen Cyberkriminalität im ersten Quartal 2026. Sie kombinieren Banking-Diebstahl, Kryptowährungs-Mining und Fernsteuerung in einer einzigen Bedrohung.

Gefälschte Stores und perfekte Tarnung

Die Lage hat sich in dieser Woche dramatisch zugespitzt. Zwischen dem 10. und 13. März veröffentlichten Sicherheitsforscher von Kaspersky und Zimperium Analysen zu zwei parallelen Malware-Kampagnen. Die Schadsoftware wird über betrügerische Webseiten verteilt, die den offiziellen Google Play Store täuschend echt nachahmen.

Angesichts der raffinierten Methoden, mit denen Hacker Banking-Apps und Messenger auf Android-Geräten manipulieren, wird ein gezielter Basisschutz immer wichtiger. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Smartphone effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Als Köder dienen beliebte Marken: Die Trojaner tarnen sich als App für den Starlink-Satelliteninternetdienst, als Reiseplattformen wie Expedia, als Antivirensoftware oder sogar als Portale staatlicher Behörden. Nutzer, die diese Apps installieren, kompromittieren ihr Gerät selbst.

BeatBanker: Audio-Trick und Doppelangriff

Der von Kaspersky analysierte BeatBanker-Trojaner setzt auf raffinierte Tarnmechanismen. Um dauerhaft auf dem Gerät zu bleiben, spielt er eine kaum hörbare Audiodatei in einer Endlosschleife ab. Dieser Trick verhindert, dass das Android-Betriebssystem den Prozess zur Batterieschonung beendet.

Die Malware agiert als Doppelbedrohung: Zuerst aktiviert sie einen versteckten Kryptowährungs-Miner für Monero, der Akku und Rechenleistung auszehrt. Parallel installiert sie ein Banking-Modul, das Zugangsdaten stiehlt und Transaktionen auf Plattformen wie Binance manipuliert. Neuere Varianten ersetzen dieses Modul durch den Fernzugriffstrojaner BTMOB, der Angreifern die vollständige Kontrolle über das Smartphone gibt.

PixRevolution: Der Live-Hacker im Smartphone

Noch gefährlicher ist der parallel entdeckte Trojaner PixRevolution. Er zielt speziell auf Echtzeit-Überweisungssysteme ab – aktuell vor allem auf das in Brasilien allgegenwärtige PIX-Netzwerk. Doch die Methode ist universell übertragbar.

Anders als herkömmliche Banking-Trojaner setzt PixRevolution auf ein „Agent-in-the-Loop“-Modell. Ein menschlicher Operator oder eine KI beobachtet den Bildschirm des Opfers in Echtzeit. Startet der Nutzer eine überweisung und trägt die Empfängerdaten ein, schlägt die Malware zu: Sie blendet einen gefälschten Ladebildschirm ein und tauscht heimlich den Empfänger-Schlüssel gegen eine Adresse der Kriminellen aus. Da Echtzeit-Überweisungen innerhalb von Sekunden verbindlich sind, ist das Geld unwiderruflich verloren, bevor der Nutzer den Betrug bemerkt.

Raffinierte Tarnung und globale Gefahr

Beide Malware-Familien zeigen ein tiefes Verständnis mobiler Systeme. Sie nutzen native Bibliotheken, um schädlichen Code direkt in den Arbeitsspeicher zu laden und so signaturbasierte Virenscanner zu umgehen. Zudem prüfen sie, ob sie in einer Analysesandbox laufen, bevor sie zuschlagen.

Da herkömmliche Sicherheits-Apps oft nicht ausreichen, um komplexe Trojaner-Angriffe auf Android-Systeme zu verhindern, empfiehlt sich ein systematischer Sicherheits-Check. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie eine häufig unterschätzte Sicherheitslücke sofort schließen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Zur Kommunikation missbraucht BeatBanker legale Dienste wie Google Firebase Cloud Messaging. Die Malware überwacht ständig Akkutemperatur und Nutzeraktivität, um das Krypto-Mining bei Verdacht pausieren zu können – eine perfide Methode zur Tarnung.

Experten sehen in diesen Entwicklungen eine kritische Wende. Der Übergang von automatisiertem Datendiebstahl zur live-gesteuerten Transaktions-Manipulation zeigt, dass Cyberkriminelle massiv investieren, um die Sicherheitsupdates der Banken zu unterlaufen.

Die Fokussierung auf Echtzeit-Zahlungssysteme offenbart eine globale Schwachstelle. Zwar zielen die aktuellen Kampagnen auf Südamerika, doch die Technik ließe sich leicht auf europäische oder nordamerikanische Systeme wie SEPA Instant oder FedNow übertragen. Die Konvergenz verschiedener krimineller Ziele in einer Infektion – Diebstahl, Mining, Überwachung – zeigt zudem die zunehmende Kommerzialisierung von Schadsoftware.

Schutz wird zur Daueraufgabe

Sicherheitsforscher erwarten, dass BeatBanker und PixRevolution ihre geografische Reichweite ausdehnen werden. Die Betreiber verfeinerern ihre gefälschten App-Vorlagen und Lokalisierungsstrategien ständig.

Zum Schutz empfehlen Experten dringend:
* App-Store-Domains immer genau zu prüfen
* Zugriffsanfragen auf Barrierefreiheits-Dienste (Accessibility Services) äußerst kritisch zu hinterfragen
* Betriebssysteme und Apps stets aktuell zu halten

Da Cyberkriminelle das Vertrauen in offizielle App-Ökosysteme systematisch ausnutzen, wird ein „Zero-Trust“-Ansatz bei App-Berechtigungen unverzichtbar – sowohl privat als auch im Unternehmensumfeld.

boerse | 68690284 |