FvncBot, ClayRat

FvncBot und ClayRat: Neue Android-Bedrohungen alarmieren Sicherheitsexperten

10.12.2025 - 06:20:11

FvncBot und ClayRat: Neue Android-Bedrohungen alarmieren Sicherheitsexperten - Foto: über boerse-global.de
FvncBot und ClayRat: Neue Android-Bedrohungen alarmieren Sicherheitsexperten - Foto: über boerse-global.de

Zwei hochentwickelte Schadsoftware-Varianten bedrohen derzeit Android-Nutzer weltweit. Während das Weihnachtsgeschäft seinen Höhepunkt erreicht, haben Cybersicherheitsforscher gleich mehrere gefährliche Kampagnen identifiziert – darunter den Banking-Trojaner “FvncBot” und eine drastisch aufgerüstete Version der Spyware “ClayRat”. Zeitgleich warnt das FBI vor KI-gestützten Betrugsmaschen, die das Vertrauen in digitale Kommunikation erschüttern.

Die Kombination aus technisch ausgereiften Angriffen und psychologischer Manipulation schafft eine explosive Gemengelage. Experten sprechen von einer neuen Ära der mobilen Bedrohungen.

Am Montag veröffentlichten Forscher von Intel 471 und Zimperium Details zu FvncBot – einem Android-Trojaner, der einen besorgniserregenden Trend markiert: Anders als die meisten aktuellen Schädlinge basiert er nicht auf recyceltem Code bekannter Malware-Familien wie Ermac oder Hook. Stattdessen wurde er komplett neu programmiert.

Diese Strategie zielt darauf ab, signaturbasierte Erkennungssysteme zu umgehen. Aktuell konzentrieren sich die Angreifer auf polnische Bankkundschaft mit einer gefälschten Sicherheits-App namens “Klucz bezpieczeństwa mBank” (mBank-Sicherheitsschlüssel). Doch die modulare Architektur lässt sich problemlos auf andere Märkte anpassen.

Anzeige

Viele Android-Nutzer übersehen diese 5 grundlegenden Sicherheitsmaßnahmen – gerade jetzt, wo maßgeschneiderte Trojaner wie FvncBot und erweiterte Spyware wie ClayRat massenhaft per SMS-Links und gefälschten Apps verteilt werden. Ein kostenloser Praxisleitfaden erklärt Schritt für Schritt, welche Einstellungen Sie sofort prüfen sollten (Installationsquellen, Bedienungshilfen-Rechte, Play-Protect-Prüfungen) und wie Sie Ihr Gerät ohne teure Zusatz-Apps sicher halten. Jetzt kostenloses Android-Sicherheitspaket herunterladen

“FvncBot unterscheidet sich fundamental von bekannten Familien”, erklären die Intel-471-Forscher. “Die Malware implementiert ein hochentwickeltes Hidden-VNC-Modul, das Angreifern erlaubt, das infizierte Gerät im Hintergrund zu steuern – völlig unbemerkt vom Opfer.”

Nach der Installation fordert die Software Zugriff auf die Bedienungshilfen des Systems – ein klassischer Trick. Damit kann sie Tastatureingaben aufzeichnen, gefälschte Login-Seiten über Banking-Apps legen und den Bildschirm per H.264-Videokompression an einen Command-and-Control-Server streamen. Zur Verschleierung nutzen die Entwickler den Krypto-Dienst “apk0day”, was die Analyse zusätzlich erschwert.

Parallel tauchte SeedSnatcher auf, eine weniger komplexe, aber hochspezialisierte Bedrohung für Kryptowährungs-Wallets. Die doppelte Ausrichtung auf traditionelle Banken und digitale Assets zeigt die Bandbreite aktueller Angriffskampagnen.

ClayRat: Von Spyware zum Systemübernahme-Tool

Während FvncBot neu auf der Bildfläche erscheint, kehrt ein alter Bekannter mit drastisch erweiterten Fähigkeiten zurück. Am 4. Dezember dokumentierte Zimperium zLabs die neueste Evolution von ClayRat – und die hat es in sich.

Die ursprünglich im Oktober 2025 entdeckte Spyware wurde zur umfassenden Übernahme-Software ausgebaut. Durch Missbrauch der Android-Bedienungshilfen verschafft sich ClayRat weitreichende Berechtigungen:

  • Automatisches Entsperren: Die Malware zeichnet PINs und Muster auf und spielt sie bei Bedarf ab.
  • Deaktivierung von Google Play Protect: Das schützt die Schadsoftware vor Entfernung.
  • SMS-Abfang: Benachrichtigungen werden versteckt, um Zwei-Faktor-Authentifizierung auszuhebeln.

“Die erweiterten Funktionen ermöglichen eine vollständige Geräteübernahme”, warnen die Zimperium-Forscher. Verbreitet wird ClayRat über mehr als 25 gefälschte Phishing-Domains, die beliebte Dienste wie YouTube, WhatsApp oder russische Taxi-Apps imitieren. Besonders perfide: Die Schadsoftware wird teilweise über legitime Cloud-Dienste wie Dropbox gehostet, um Vertrauen zu erwecken.

FBI warnt vor KI-gestützten Entführungsschwindel

Zu den technischen Bedrohungen gesellt sich eine psychologische Komponente. Am 5. Dezember veröffentlichte das FBI die Warnung I-120525 zu einer Zunahme von “virtuellen Entführungen” – verstärkt durch generative KI.

Kriminelle durchsuchen soziale Medien nach Fotos und Audiomaterial, um täuschend echte “Lebensbeweise” zu erstellen. Die Masche: Angreifer kontaktieren Opfer und behaupten, ein Familienmitglied entführt zu haben. KI-manipulierte Fotos oder Deepfake-Audio sollen die Forderung untermauern.

“Kriminelle Akteure nutzen zunehmend Drucktaktiken und künstliche Intelligenz, um Amerikaner zu betrügen”, erklärt das FBI. Gerade jetzt, während der Feiertage, wenn Familien verreisen und ihre Aktivitäten in Echtzeit posten, steigt die Datenverfügbarkeit für solche Betrügereien dramatisch.

Das FBI empfiehlt, ein “Sicherheitswort” mit Familienangehörigen zu vereinbaren – ein verbales Passwort zur Identitätsverifizierung in Stresssituationen. Zudem sollten dringende Geldforderungen, insbesondere per Kryptowährung oder Geschenkkarten, grundsätzlich skeptisch beäugt werden.

Der Paradigmenwechsel zu maßgeschneidertem Code

Die Entdeckung von FvncBot markiert einen bedeutenden Wandel in der Android-Bedrohungslandschaft. Während 2024 und den größten Teil von 2025 “Copycat”-Malware auf Basis geleakter Cerberus- und Hydra-Quelltexte dominierte, investieren Angreifer nun offenbar erheblich mehr Ressourcen in Eigenentwicklungen.

“Wir beobachten eine Professionalisierung der mobilen Malware-Ökonomie”, analysiert Dr. Elena Russo, Expertin für mobile Sicherheit. “Die zeitgleiche Veröffentlichung eines maßgeschneiderten Trojaners wie FvncBot und die hochentwickelte Evolution von ClayRat zeigen: Angreifer suchen nicht mehr nur schnelle Beute, sondern persistenten, langfristigen Zugang zu Opfergeräten.”

Dieser Trend wird durch das “Malware-as-a-Service”-Modell (MaaS) verstärkt. Entwickler vermieten ihre Tools an weniger technisch versierte Kriminelle. Der von FvncBot genutzte “apk0day”-Krypto-Dienst ist ein Paradebeispiel für die unterstützende Infrastruktur, die solche Kampagnen skalierbar macht.

Was kommt auf uns zu?

Für die kommenden Monate zeichnen sich klare Entwicklungen ab:

Kurzfristig (nächste 30 Tage): Experten erwarten einen massiven Anstieg gefälschter Paket-Benachrichtigungen per SMS, die diese Malware-Familien verbreiten. Bei Rekord-Versandvolumina sind Nutzer konditioniert, auf Tracking-Links zu klicken – ideale Bedingungen für ClayRat und FvncBot.

Mittelfristig (erstes Quartal 2026): Der Erfolg von FvncBots individueller Architektur dürfte andere Malware-Autoren inspirieren, geleakte Codebasen zu verlassen. Das könnte vorübergehend zu sinkenden Erkennungsraten führen, während Sicherheitsanbieter neue Signaturen analysieren.

Defensive Evolution: Google wird voraussichtlich die Beschränkungen für Bedienungshilfen in den kommenden Android-16-Vorschauversionen weiter verschärfen. Das könnte Malware-Entwickler zwingen, nach neuen Wegen zur Privilegieneskalation zu suchen.

Nutzer sollten Apps ausschließlich aus offiziellen Quellen installieren, jede Anfrage nach Bedienungshilfen-Zugriff kritisch hinterfragen und die Sicherheit von Familienangehörigen durch direkte Anrufe verifizieren – nicht durch eingehende Medien.

Anzeige

PS: Sie möchten Ihr Android-Handy proaktiv schützen, bevor eine Schadsoftware wie ClayRat oder FvncBot Schaden anrichtet? Der kostenlose Sicherheits-Guide erklärt kompakt die fünf wichtigsten Maßnahmen, enthält praktische Checklisten und zeigt, wie Sie Play Protect, Berechtigungen und SMS-Sicherheit richtig einstellen – ohne teure Tools. Jetzt das kostenlose Sicherheitspaket anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler