Mobile Banking: Neue Angriffswelle macht Apps verwundbar

Cyberkriminelle umgehen aktuell ggige Sicherheitsverfahren in Banking-Apps. Sie nutzen raffinierte Malware, um etwa photoTAN-Authentifizierungen auszuhebeln und Überweisungen unbemerkt zu autorisieren. Gleichzeitig fluten automatisierte ?Credential Stuffing?-Attacken mit gestohlenen Zugangsdaten die Systeme. Diese neue Woche zeigt: Das Wettrüsten um die Sicherheit mobiler Anwendungen eskaliert.

Für Angreifer sind Apps das primäre Einfallstor zu sensiblen Daten. Ihre grundlegende Angriffsmethode heißt Reverse Engineering. Mit frei verfügbaren Tools zerlegen sie den Binärcode einer App in lesbaren Quellcode. Ist dieser erst einmal offengelegt, können Kriminelle Schwachstellen suchen, Sicherheitskontrollen manipulieren oder Schadcode einfügen. Die professionalisierte Cyberkriminalität agiert dabei wie ein globaler Konzern ? und hat das Smartphone fest im Visier.

Erste Verteidigungslinie: Code verschleiern

Gegen das Reverse Engineering hilft Code Obfuscation, also die gezielte Verschleierung des Quellcodes. Die Technik macht den Code für Menschen unleserlich, lässt ihn aber fehlerfrei laufen. Wie funktioniert das?

• Umbenennung: Aussagekräftige Namen wie checkPassword werden durch kryptische Zeichenfolgen wie a1b2c ersetzt.
• Kontrollfluss-Verschleierung: Die logische Abfolge wird durch sinnlose Verzweigungen und Schleifen künstlich verkompliziert.
• String-Verschlüsselung: Textbausteine im Code ? etwa API-Schlüssel ? werden verschlüsselt und erst während der Ausführung entschlüsselt.

Das Ziel ist simpel: Den Aufwand für Angreifer so hochtreiben, dass sich ein Hack nicht mehr lohnt. Doch ist das heute noch genug?

Der Gamechanger: Aktiver Schutz zur Laufzeit

Experten sagen Nein. Code-Verschleierung allein reicht nicht mehr aus. Die entscheidende Ergänzung heißt App Shielding. Diese Technologien schützen die App aktiv, während sie auf dem potenziell kompromittierten Gerät des Nutzers läuft. Sie bilden eine Schutzhülle mit lebenswichtigen Funktionen:

• Anti-Tampering: Erkennt, ob der App-Code nach der Installation manipuliert wurde, und stoppt die Ausführung.
• Anti-Debugging: Verhindert, dass Angreifer mit Analyse-Tools den laufenden Prozess ausspähen.
• Root/Jailbreak-Erkennung: Blockiert die App auf unsicheren, freigeschalteten Geräten.
• Schutz vor Overlay-Angriffen: Erkennt und stoppt gefälschte Login-Fenster, die über die echte App gelegt werden.

Wer Banking-Apps oder andere mobile Anwendungen effektiv schützen will, braucht neben Obfuscation praxisnahe Schutzmaßnahmen und klare Handlungsanweisungen. Ein kostenloses E?Book fasst aktuelle Cyber?Security?Bedrohungen, neue Gesetze (inkl. KI-Regeln) und sofort umsetzbare Maßnahmen für IT?Verantwortliche und Entscheider zusammen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Warum Unternehmen jetzt handeln müssen

Der Druck wächst von zwei Seiten. Technologisch nutzen Angreifer zunehmend KI, um Schwachstellen schneller zu finden und Attacken zu automatisieren. Die Verteidigung muss mit intelligenten, Echtzeit-Schutzmaßnahmen kontern.

Gleichzeitig verschärft die Politik den Rahmen. Neue EU-Regulierungen wie NIS2 und DORA verpflichten Unternehmen zu höheren Sicherheitsstandards. Verstöße können nicht nur teuer werden, sondern auch das Kundenvertrauen nachhaltig beschädigen. Mobile Sicherheit ist kein Projekt mehr, sondern ein kontinuierlicher Prozess, der fest im Entwicklungszyklus verankert sein muss. Die nächste Runde im Wettrüsten hat bereits begonnen.