PixRevolution und BeatBanker: Neue Android-Malware bedroht Bankkunden

Forscher warnen vor einer neuen Generation von Banking-Trojanern, die in Echtzeit Konten plündern und Geräte kapern. Die Angriffe zielen auf mobile Bezahldienste und Krypto-Wallets.

Die Digitalisierung des Bankwesens hat Verbrauchern zwar mehr Komfort gebracht, gleichzeitig aber auch nie dagewesene Sicherheitsrisiken geschaffen. Zwischen dem 10. und 13. März 2026 veröffentlichten Cybersicherheitsunternehmen wie Zimperium, Kaspersky und CYFIRMA eine Serie von Berichten, die sechs neue Android-Malware-Familien beschreiben. Diese verändern die mobile Bedrohungslage grundlegend. Im Fokus stehen ausgeklügelte Trojaner wie PixRevolution und BeatBanker, die auf Echtzeit-Hijacking und mehrschichtige Geräte-Übernahmen setzen – eine gefährliche Evolution des finanziellen Betrugs.

Angesichts der neuen Generation von Banking-Trojanern wird der Basisschutz des Smartphones für Nutzer von Online-Banking und Bezahldiensten immer wichtiger. Erfahren Sie in diesem Gratis-Ratgeber, wie Sie Ihr Android-Gerät mit einfachen Schritt-für-Schritt-Anleitungen vor Datendiebstahl schützen. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android-Smartphone

Echtzeit-Betrug: Der PixRevolution-Trojaner kapert Überweisungen

Laut einer Analyse vom 13. März 2026 durch das zLabs-Team von Zimperium markiert der neu identifizierte Banking-Trojaner „PixRevolution“ einen Paradigmenwechsel. Ursprünglich auf das in Brasilien weit verbreitete Pix-Sofortüberweisungssystem spezialisiert, setzt diese Malware auf aktive menschliche oder KI-gesteuerte Operatoren.

Statt mit vorprogrammierten Skripten Passwörter zu stehlen, gewährt PixRevolution Angreifern Echtzeit-Einblick in den Smartphone-Bildschirm des Opfers. Dazu missbraucht der Trojaner die Android-MediaProjection-API und hält eine ständige WebSocket-Verbindung aufrecht. Lauert die Malware im Hintergrund und erkennt der Operator über 80 bestimmte Finanzbegriffe, greift er im entscheidenden Moment ein: Während ein Fake-Overlay den Nutzer zum Warten auffordert, manipuliert der Angreifer im Hintergrund live den Empfängerschlüssel der Überweisung.

Dieses „Human-in-the-Loop“-Design umgeht herkömmliche Betrugserkennungssysteme. Die Transaktion stammt scheinbar von der legitimen Sitzung des Nutzers, was es Banken extrem schwer macht, sie als bösartig zu kennzeichnen.

BeatBanker: Doppelter Angriff auf Banking-Apps und Geräteressourcen

Parallel dazu enthüllte Kaspersky am 10. März 2026 die Kampagne „BeatBanker“. Diese hochsophistische Malware kombiniert Finanzdiebstahl mit Ressourcenausbeutung. Verbreitet wird sie über betrügerische Websites, die den Google Play Store imitieren. Dort werden Nutzer zum Download gefälschter Versionen beliebter Apps – wie der Starlink-Satelliteninternet-App oder behördlicher Portale – verleitet.

Einmal installiert, startet BeatBanker einen Zwei-Fronten-Krieg:
1. Verstecktes Krypto-Mining: Die Malware nutzt die Prozessorleistung des Geräts, um heimlich die Kryptowährung Monero zu schürfen, und überwacht dabei die Akkutemperatur, um nicht aufzufallen.
2. Banking-Modul: Durch Missbrauch der Android-Barrierefreiheitsdienste (Accessibility Services) überwacht es Webbrowser und legt gefälschte Login-Masken über Apps wie Binance oder Trust Wallet.

Neueste Erkenntnisse zeigen, dass die Betreiber ihre Taktik verschärft haben: Sie ersetzten das Banking-Modul durch einen vollwertigen Remote-Access-Trojaner (RAT). Dieser verschafft Angreifern totale administrative Kontrolle über das infizierte Gerät – inklusive Keylogging, Kamerazugriff und Geolokalisierung.

Malware-as-a-Service: Cyberkriminalität wird zur Dienstleistung

Die Berichte beleuchten auch die boomende Schattenwirtschaft hinter den Angriffen. Fortgeschrittene Android-Banking-Trojaner werden zunehmend als Malware-as-a-Service (MaaS) vermarktet. Das senkt die Einstiegshürde für weniger versierte Cyberkriminelle erheblich.

Beispielsweise wird der neu entdeckte Trojaner Mirax in Darknet-Foren für Tausende Dollar pro Monat angeboten. Das Paket umfasst Banking-Overlays, Diebstahl von Entsperrmustern und bösartiges Proxy-Routing. Ein weiterer RAT namens Oblivion kostet Hunderte Dollar monatlich und gewährt automatisch Berechtigungen – ohne jegliche Interaktion des Opfers.

Um die teuren Tools wirksam zu halten, setzen Entwickler auf militärische Tarnmethoden. Moderne Banking-Malware nutzt native Bibliothekenverschlüsselung, wechselnde Zeichenkettenverschleierung und legitime Cloud-Infrastruktur. BeatBanker missbraucht etwa Googles Firebase Cloud Messaging als primären Command-and-Control-Kanal. So können Angreifer kontinuierlich Befehle senden, ohne Netzwerksicherheitsalarme auszulösen.

Analyse: Digitale Transformation schafft neue Angriffsflächen

Die zeitgleiche Entdeckung dieser Malware-Familien im März 2026 ist eine deutliche Warnung für den globalen Finanzsektor. Die rasante Evolution der Android-Banking-Trojaner offenbart den Zielkonflikt zwischen nahtloser digitaler User Experience und robuster Sicherheit.

Während Banken Sofortüberweisungen und Krypto-Funktionen in ihre Apps integrieren, vergrößern sie unbeabsichtigt die Angriffsfläche für hochorganisierte Cyberkriminalität. Der Trend zum Echtzeit-Fernzugriff stellt etablierte Sicherheitsparadigmen infrage. Herkömmliche Abwehrmaßnahmen wie Geräte-Identifizierung oder Geolokationsprüfung versagen, wenn der Angreifer das authentifizierte Gerät des Opfers in Echtzeit fernsteuert.

Ein Hauptschwachpunkt bleibt der anhaltende Missbrauch der Android-Barrierefreiheitsdienste. Trotz verschärfter Restriktionen durch Hersteller setzen Bedrohungsakteure weiter auf Social Engineering, um Opfer zur Erteilung der nötigen Berechtigungen zu manipulieren. Dies zeigt eine kritische Lücke sowohl im Nutzerbewusstsein als auch in der Plattformarchitektur.

Da herkömmliche Sicherheitsmechanismen oft durch Social Engineering umgangen werden, ist ein tieferes Verständnis der Gerätesicherheit der beste Schutz. Dieses kostenlose Sicherheitspaket bietet praktische Checklisten und Tipps, um Sicherheitslücken bei WhatsApp, PayPal und Co. effektiv zu schließen. Kostenloses Android-Sicherheitspaket jetzt herunterladen

Ausblick: Verhaltensbiometrie als neue Verteidigungslinie

Sicherheitsforscher erwarten, dass die derzeit in regionalen Märkten getesteten Taktiken sich schnell global verbreiten werden. Die ausgeklügelten Fähigkeiten von PixRevolution und BeatBanker könnten bald zum Standardrepertoire weltweit agierender Cyberkrimineller werden.

Als Gegenmaßnahme fordern Experten den Wechsel zu fortschrittlicher Verhaltensbiometrie und dezentralen Authentifizierungsmethoden. Finanzinstitute müssen wahrscheinlich KI-gestützte Systeme implementieren, die Mikro-Interaktionen wie Tipprhythmus und Wischgeschwindigkeit analysieren. So ließe sich erkennen, wann ein Fernoperator die Kontrolle über eine aktive Sitzung übernimmt.

Bis solche Systeme flächendeckend eingeführt sind, bleibt die Aufklärung der Verbraucher die wichtigste Verteidigungslinie. Die Gefahren des „Sideloading“ – der Installation von Apps aus inoffiziellen Quellen – müssen Nutzern deutlich vor Augen geführt werden. In der mobilen Finanzwelt ist Vorsicht weiterhin der beste Schutz.

boerse | 68697696 |