Wonderland-Malware umgeht Sicherheitsbarrieren und leert Konten

Eine neue Android-Schadsoftware namens „Wonderland“ erbeutet SMS-TANs in Echtzeit und umgeht so die Zwei-Faktor-Authentifizierung. Die Malware infiziert Tausende Geräte und markiert eine gefährliche Entwicklung im mobilen Cyberkrieg.

Cybersicherheitsforscher von Group-IB haben die Malware analysiert, die zuvor als „WretchedCat“ bekannt war. Ihr gefährlichstes Merkmal: eine bidirektionale Live-Verbindung zu den Servern der Angreifer. Über diese WebSocket-Verbindung können Kriminelle den infizierten Smartphone in Echtzeit fernsteuern.

Die Malware liest eingehende SMS-Nachrichten aus, leitet sie weiter und löscht sie dann auf dem Gerät des Opfers. So bemerkt der Nutzer den Diebstahl der Transaktionsbestätigung (TAN) oft nicht einmal. Die Angreifer können Konten leeren, sobald die Bank die SMS verschickt. Auch das Senden von USSD-Codes und das Starten anderer Apps ist möglich – eine beispiellose Fernkontrolle.

Viele Android-Nutzer sind sich nicht bewusst, wie leicht Malware wie „Wonderland“ SMS‑TANs abfangen kann. Ein kostenloses Android‑Startpaket erklärt Schritt für Schritt, wie Sie Ihr Smartphone sicher einrichten, welche Berechtigungen Sie kritisch prüfen sollten und wie Sie Sideloading vermeiden – genau das, was jetzt schützt, wenn Banken noch SMS‑TANs nutzen. Plus: Ein gratis 5‑teiliger E‑Mail‑Kurs mit praktischen Sicherheitstipps für Alltag, Apps und Messenger. Jetzt Android-Startpaket herunterladen

Die perfide Verbreitung über „Dropper“-Apps

Die Infektion erfolgt über scheinbar harmlose Apps, die als „Dropper“ fungieren. Diese Apps – etwa für Fotobearbeitung oder Einladungskarten – funktionieren tatsächlich wie beworben und enthalten zunächst keinen Schadcode. Erst nach der Installation und der Erteilung von Berechtigungen laden sie heimlich die Wonderland-Malware nach.

Verbreitet wird die Schadsoftware derzeit vor allem über kompromittierte Telegram-Konten. Angreifer senden Nachrichten an Kontakte und drängen zum Download. Auch gefälschte Google-Play-Seiten auf Drittanbieter-Domains kommen zum Einsatz. Die aktuelle Welle konzentriert sich auf Usbekistan, dient den Entwicklern aber wohl als Testlauf für eine globale Kampagne.

Warum SMS-TANs nicht mehr sicher sind

Wonderland macht eine grundlegende Schwachstelle im mobilen Banking sichtbar: die Abhängigkeit von SMS zur Identitätsprüfung. Trotz jahrelanger Warnungen von Experten ist die SMS-TAN für die meisten Bankkunden noch immer Standard. Malware wie Wonderland macht diesen Schutz wirkungslos, indem sie den Code abfängt, bevor der Nutzer ihn sieht.

Gleichzeitig zeigt der Fall den Wettlauf zwischen Sicherheitsalgorithmen und Malware-Entwicklern. Da Scanner wie Google Play Protect bekannte Schadcode-Signaturen immer besser erkennen, setzen Angreifer auf mehrstufige Infektionsketten. Die Trennung von harmlosem Installer und bösartiger Nutzlast erschwert die Erkennung erheblich.

Was Nutzer jetzt tun sollten

Sicherheitsexperten rechnen damit, dass die Wonderland-Taktik ab 2026 von weiteren Cyberkriminellen kopiert wird. Die wichtigsten Schutzmaßnahmen für Android-Nutzer:

• Kein „Sideloading“: Apps nur aus dem offiziellen Google Play Store installieren.
• Skepsis bei Nachrichten: Unaufgeforderte Download-Links in Messengern – auch von Bekannten – nicht anklicken.
• Zwei-Faktor-Authentifizierung modernisieren: Für wichtige Konten auf App-basierte Authentikatoren (wie Google Authenticator) oder Hardware-Security-Keys umsteigen. Diese sind gegen Abfang-Angriffe immun.

Google und andere Sicherheitsanbieter werden in den kommenden Tagen spezifische Erkennungsregeln für Wonderland veröffentlichen. Die grundsätzliche Methode der Dropper-Apps bleibt jedoch eine anhaltende Herausforderung für die gesamte Branche.

PS: Sie haben gerade gelesen, dass die Schadsoftware über kompromittierte Messenger verteilt wird. Das Android‑Startpaket liefert eine leicht verständliche Anleitung, wie Sie sichere Einstellungen in Messengern vornehmen, Berechtigungen richtig setzen und Update‑Routinen einrichten – inklusive PDF‑Leitfaden und gratis E‑Mail‑Kurs. Schützen Sie Ihre Konten, bevor Angreifer zuschlagen. Android-Sicherheitsguide jetzt kostenlos anfordern