Neue Android-Attacke umgeht Banken-Sicherheit

Eine neuartige Angriffstechnik unterwandert die zentrale Sicherheitsarchitektur mobiler Bezahlsysteme auf Android-Geräten. Sie macht die weltweit eingesetzte SIM-Bindung wirkungslos.

Entdeckt wurde die Schwachstelle von Analysten des Unternehmens CloudSEK und heute, am 17. März 2026, öffentlich gemacht. Der Angriff manipuliert nicht einzelne Apps, sondern die Android-Laufzeitumgebung selbst. So können Kriminelle legitime Banking-Apps kapern, ohne Standard-Sicherheitswarnungen auszulösen. Die aktive Ausnutzung durch Cyberkriminelle ist bereits beobachtet worden.

Angesichts solch komplexer Angriffe auf das Android-System ist ein proaktiver Schutz sensibler Daten wie Banking-Logins und WhatsApp-Chats unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Smartphone effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Wie der LSPosed-Angriff funktioniert

Die Methode markiert einen Paradigmenwechsel. Statt App-Code zu verändern, nutzen Angreifer das LSPosed-Framework, um direkt in systemnahe Prozesse einzugreifen. Auf dieser Runtime-Ebene entgeht der Angriff konventionellen Virenscannern und Integritätsprüfungen.

Das Kernziel: die SIM-Bindung zu brechen. Banken verwenden dieses Verfahren, um Zahlungen ausschließlich vom registrierten Gerät und der zugehörigen SIM-Karte zu erlauben. Der Angriff zerstört dieses Vertrauensmodell in mehreren Schritten:
* SMS-Verifikationstokens werden abgefangen, bevor sie den Nutzer erreichen.
* Registrierte Telefonnummern werden über Android-System-APIs gefälscht.
* Gefälschte SMS-Datensätze werden direkt in die Gerätedatenbanken eingeschleust.

Über Echtzeit-Kommandoserver können Angreifer so betrügerische Sitzungen authentifizieren und die Zwei-Faktor-Authentifizierung nahtlos umgehen.

Aktive Betrugskampagnen über Telegram

Die theoretische Gefahr ist bereits praktische Realität. CloudSEK beobachtet Live-Kampagnen, die mit dieser technique groß angelegten Finanzbetrug orchestrieren. Konten können übernommen, PINs zurückgesetzt und unbefugte Überweisungen initiiert werden – alles ohne Wissen des Opfers.

Die Messaging-Plattform Telegram dient als Drehscheibe für diese Aktivitäten. In analysierten Kanälen dokumentierten Forscher über 500 Nachrichten mit abgefangenen Login-Daten, was auf eine hochorganisierte, automatisierte Betrugsoperation hindeutet. Die öffentliche Verfügbarkeit der Tools senkt die Einstiegshürde für komplexe Runtime-Angriffe erheblich.

Teil einer Welle neuer Banking-Trojaner

Die Entdeckung fällt mit einer massiven Welle neuer Finanz-Malware für Android zusammen. Erst Mitte März 2026 identifizierten Forscher sechs neue Schadprogramm-Familien, darunter:
* Traditionelle Banking-Trojaner wie BeatBanker und Mirax.
* Fortschrittliche Fernsteuerungswerkzeuge wie SURXRAT und Oblivion RAT.

Besonders besorgniserregend ist Oblivion RAT. Als "Malware-as-a-Service" für etwa 300 Euro monatlich vermarktet, soll es Erkennungs- und Sicherheitsfunktionen bei Herstellern wie Samsung, Xiaomi und OPPO umgehen. Nach der Installation erteilt es automatisch alle Berechtigungen – ohne jegliche Interaktion des Opfers.

Da herkömmliche Sicherheitsmechanismen oft nicht ausreichen, um moderne Trojaner und System-Manipulationen zu stoppen, bietet dieser kompakte Leitfaden wichtige Checklisten für geprüfte Apps und automatische Sicherheitsprüfungen. Sichern Sie Ihr Android-Gerät jetzt mit praxiserprobten Experten-Tipps ab. Kostenloses Android-Sicherheitspaket anfordern

Ein anderes Beispiel ist der PixRevolution-Trojaner. Er zielt auf Brasiliens Instant-Payment-System Pix ab, überwacht den Bildschirm und legt bei einer Überweisung ein Fake-Lade-Overlay ein. Im Hintergrund wird der Empfänger manipuliert, sodass das Geld auf Konten der Angreifer fließt.

Systematische Schwächung der Mobil-Sicherheit

Die Konvergenz von Runtime-Manipulation und fortschrittlicher Malware zeigt einen kritischen Wandel. Während sich Angreifer früher auf Phishing-Apps oder NFC-Relay-Angriffe verließen, dringen sie nun in die Systemarchitektur selbst ein.

Indem Frameworks wie LSPosed und System-APIs angegriffen werden, werden Sicherheitsmaßnahmen auf App-Ebene zunehmend wirkungslos. Traditionelle Vertrauensmodelle, die auf Geräte-Identität und SMS-Verifikation basieren, sind fundamental ausgehebelt. Diese Entwicklung wird durch Hardware-Schwachstellen wie das kürzlich gepatchte Qualcomm-Zero-Day (CVE-2026-21385) noch verschärft.

Ausblick: Druck auf Banken und Plattformbetreiber

Der mobile Zahlungsverkehr steht vor einer kritischen Anpassungsphase. Die Kommerzialisierung der Angriffstools garantiert praktisch eine Zunahme derartiger Attacken in 2026.

Für Finanzinstitute bedeutet dies einen beschleunigten Abschied von SMS-basierter Verifikation und reiner SIM-Bindung. Der Weg führt zu widerstandsfähigeren, hardwaregestützten Authentifizierungsmethoden und Verhaltensbiometrie.

Die Android-Entwickler müssen priorisiert die Lücken schließen, die eine unerkannte Manipulation der Laufzeitumgebung erlauben. Bis dahin empfehlen Sicherheitsexperten robuste Mobile-Threat-Defense-Lösungen, strikte Gerätemanagement-Richtlinien und die kontinuierliche Überwachung auf anomale Transaktionsmuster.

boerse | 68756629 |