Android-Banking-Trojaner: Neue Welle bedroht Millionen Nutzer

Am 28. April 2026 entdeckten Sicherheitsforscher die Schadsoftware KYCShadow, die gezielt Bankkunden über gefälschte Compliance-Prozesse ausspioniert. Der Fund reiht sich ein in eine Serie von Angriffen, bei denen Kriminelle die Kontrolle über infizierte Smartphones übernehmen – und damit klassische Sicherheitssysteme der Banken umgehen.

Die neue Malware tarnt sich als offizielle Banking-App zur Identitätsprüfung. Verbreitet wird KYCShadow über WhatsApp, wie die Sicherheitsfirma Cyfirma berichtet. Die Masche: Die vermeintliche App fordert Nutzer auf, ihre KYC-Daten (Know Your Customer) zu aktualisieren – und stiehlt dabei PINs, Ausweisnummern und Kreditkartendaten.

Angesichts der zunehmenden Bedrohungen durch Trojaner wie KYCShadow ist ein grundlegender Schutz für Mobilgeräte wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone wirksam gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

KYCShadow: Wenn die Bank zur Falle wird

Technisch arbeitet der Trojaner zweistufig: Eine harmlose Lader-App installiert im Hintergrund die eigentliche Schadsoftware. Diese fordert umfassende Berechtigungen – SMS-Zugriff und Telefonsteuerung inklusive. So können die Angreifer TANs in Echtzeit abfangen. Ein zusätzlicher VPN-Tunnel leitet den gesamten Datenverkehr über Server der Kriminellen, während die App auf dem Gerät unsichtbar bleibt.

Parallel dazu treibt der Anatsa-Trojaner in Nordamerika sein Unwesen. Er gelangt über den Google Play Store auf die Geräte, tarnt sich zunächst als PDF-Reader oder Dateimanager – und entfaltet erst nach einem Update seine zerstörerische Wirkung.

1.243 Banken im Visier: Der Banking-Heist-Report 2026

Am 19. März 2026 veröffentlichte Zimperium seinen umfassenden Banking-Heist-Report. Die Bilanz: 34 aktive Android-Malware-Familien hatten im vergangenen Jahr 1.243 Finanzinstitute in 90 Ländern im Visier. Besonders alarmierend: Die Zahl der betrügerischen Transaktionen stieg um 67 Prozent im Vergleich zum Vorjahr.

Die USA bleiben der Hauptschauplatz: 162 Banking-Apps werden dort aktiv angegriffen – ein deutlicher Anstieg von 109 im Jahr 2023. Drei Malware-Familien – TsarBot, CopyBara und Hook – sind für über 60 Prozent aller Angriffe auf Finanz-Apps verantwortlich. Fast die Hälfte der untersuchten Schadprogramme kann inzwischen auch Erpressungssoftware aktivieren, die Dateien auf dem Gerät verschlüsselt, falls betrügerische Transaktionen blockiert werden.

Vier weitere Kampagnen aus Mitte April 2026 – RecruitRat, SaferRat, Astrinox und Massiv – zielen auf über 800 Apps aus Banken- und Social-Media-Bereich. Ihre Spezialität: PIN-Diebstahl durch täuschend echte Overlays, die selbst biometrische Sicherheitsmaßnahmen aushebeln.

KI-generierter Code und NFC-Angriffe

Die Angreifer setzen zunehmend auf Künstliche Intelligenz. Am 21. April 2026 entdeckte ESET Research eine neue Variante der NGate-Malware, die Android-Nutzer in Brasilien attackiert. Forscher fanden im Code charakteristische Emojis – ein eindeutiger Hinweis auf KI-generierte Schadsoftware.

NGate nutzt eine besonders perfide Methode: NFC-Relay-Angriffe. Die Malware missbraucht die legitime App HandyPay, um Daten von der physischen Zahlungskarte des Opfers auf das Gerät des Angreifers zu übertragen. So können Kriminelle kontaktlos bezahlen oder Geld abheben – als hätten sie die Karte selbst in der Hand. Die neueste Version fängt zusätzlich die PIN ab und leitet sie an die Kommandozentrale der Angreifer weiter.

Die Häufigkeit solcher Angriffe steigt rasant. Allein im dritten Quartal 2025 stieg die Zahl der Android-Bedrohungen um 38 Prozent im Vergleich zum Vorquartal. Immer häufiger werden auch vorinstallierte Hintertüren entdeckt: Manche Nutzer kaufen neue Geräte, die bereits auf Firmware-Ebene infiziert sind.

Malware-as-a-Service: Die Industrialisierung des Betrugs

Der Boom der Banking-Trojaner wird durch ein ausgereiftes Malware-as-a-Service-Modell befeuert. Neue Familien wie Albiriox werden über Abo-Modelle an Einsteiger-Kriminelle verkauft. Der Schädling fungiert als Fernzugriffs-Trojaner (RAT) und überträgt den Bildschirm des Opfers live an den Angreifer. Dieser kann dann selbstständig Wischbewegungen und Klicks ausführen – und Transaktionen in der echten Banking-App tätigen, während die Sicherheitssysteme der Bank keine Anomalie erkennen.

In Südamerika zielt der PixRevolution-Trojaner auf die Echtzeit-Zahlungsplattform Pix. Sobald das Opfer eine Überweisung startet, blendet die Malware ein gefälschtes „Bitte warten“-Overlay ein – und ersetzt im Hintergrund die Empfängerdaten durch die des Angreifers. Branchenbeobachter warnen: Die Grenzen zwischen einfachen Overlay-Malware und hochentwickelten automatisierten Transfersystemen verschwimmen zunehmend.

Die neue Bedrohungslandschaft: Mobilgeräte im Fokus

Die Zahlen sprechen eine deutliche Sprache: 2025 stieg die Zahl der einzigartigen Trojaner-Installationspakete für Android auf 255.090 – ein Anstieg von 271 Prozent gegenüber dem Vorjahr. Die Entwicklung von Finanz-Malware hat industrielle Ausmaße angenommen.

Banken stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen über die eigenen Server hinaus auf die Geräte der Kunden auszuweiten. Denn herkömmliche Betrugserkennungssysteme versagen, wenn die Angriffe von einem kompromittierten, aber eigentlich „vertrauenswürdigen“ Gerät ausgehen. Immer mehr Geldinstitute setzen daher auf den Schutz der Laufzeitumgebung ihrer Apps und härten sie gegen Reverse Engineering.

Wer sein Android-Smartphone täglich für Online-Banking, PayPal oder Shopping nutzt, sollte die empfohlenen Schutzvorkehrungen von IT-Experten kennen. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie WhatsApp und Finanz-Apps endlich sicher nutzen können. Kostenlosen Sicherheits-Ratgeber herunterladen

Ausblick: KI und neue Regulierungen verändern die Risikolandschaft

Die Zukunft der mobilen Sicherheit wird von zwei Trends geprägt: KI-gesteuerte Angriffe und neue Regulierungen. Branchenführer wie Zimperium warnen, dass die Ausweitung von Drittanbieter-App-Stores und alternativen Vertriebswegen zu mehr Apps führen könnte, die ohne zentrale Sicherheitsprüfung auf die Geräte gelangen.

Google verbessert zwar kontinuierlich seine Sicherheitsprotokolle – Google Play Protect scannt täglich Milliarden Apps. Doch die hartnäckige Verbreitung von sideloaded Malware und der Erfolg von „Schläfer“-Apps im offiziellen Store bleiben große Herausforderungen.

Experten prognostizieren, dass die nächste Phase der mobilen Sicherheit auf risiko-adaptive Authentifizierung setzen wird: Die Sicherheitsmaßnahmen passen sich dynamisch an das aktuelle Bedrohungsniveau des jeweiligen Geräts an. Denn eines ist klar: Der Wettlauf zwischen Angreifern und Verteidigern wird sich weiter beschleunigen.

de | wissenschaft | 69266279 |