Android-Betrug: 250 gefälschte Apps zocken Millionen Nutzer ab

Sicherheitsforscher schlagen Alarm: Eine nie dagewesene Welle industrialisierter Cyberkriminalität rollt über Mobilnutzer und Softwareentwickler hinweg. Im Zentrum steht eine massive Abrechnungsbetrugs-Kampagne mit Hunderten Android-Apps, während KI-gestützte Exploits die Abwehrzeiten für Unternehmen drastisch verkürzen.

Banking, PayPal und WhatsApp – auf keinem Gerät sind unsere sensiblen Daten so gefährdet wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Viren absichern. Kostenlosen Android-Sicherheits-Guide jetzt herunterladen

Hunderte gefälschte Android-Apps zocken Nutzer ab

Das Sicherheitsunternehmen Zimperium hat eine langlebige Betrugsoperation aufgedeckt, die rund 250 gefälschte Android-Anwendungen umfasst. Zwischen März 2025 und Januar 2026 schloss die Kampagne ahnungslose Nutzer gegen ihren Willen teuren Premium-SMS- und WAP-Abonnements an. Die Täter nutzten bekannte Marken als Köder – darunter TikTok, Minecraft, GTA, Instagram Threads und Facebook Messenger.

Der Höhepunkt der Aktion lag im September 2025. Damals befanden sich mehr als die Hälfte aller dokumentierten Opfer in Malaysia. Weitere Schwerpunktregionen waren Thailand, Rumänien und Kroatien. Die Schadsoftware war technisch raffiniert: Sie aktivierte ihre Betrugsmechanismen nur dann, wenn sie bestimmte Mobilfunkanbieter wie DiGi, Maxis, AIS, Orange oder Vodafone erkannte.

Die Täter gingen mehrgleisig vor. Einige Varianten nutzten automatisierte Abonnement-Module, andere fingen Verifizierungscodes über die SMS-Retriever-API ab. Fortgeschrittene Versionen stahlen sogar Browser-Cookies und überwachten Telegram-Kommunikation. Google betont, dass die betroffenen Apps nicht im offiziellen Play Store lagen – Google Play Protect biete Schutz, wenn der Dienst aktiviert sei.

KI verkürzt das Zeitfenster für Abwehrmaßnahmen

Parallel zu diesen Enthüllungen warnen Sicherheitsexperten vor einer grundlegenden Transformation der Bedrohungslandschaft. Shane Huntley, Technologiechef von Google Threat Intelligence, erklärte am Montag, dass künstliche Intelligenz das Zeitfenster zwischen der Entdeckung einer Sicherheitslücke und ihrer aktiven Ausnutzung drastisch verkürze.

Die Veränderung zeigt sich in den Angriffsmustern. Während Phishing einst für einen Großteil der Sicherheitsvorfälle verantwortlich war, sank sein Anteil von 22 auf nur noch sechs Prozent. Gleichzeitig stieg der Anteil von Exploit-basierten Angriffen auf 33 Prozent – vor allem in der Asien-Pazifik-Region. Huntley zufolge haben Forscher die ersten KI-gestützten Zero-Day-Exploits beobachtet, die für Massenangriffe eingesetzt werden. Das macht herkömmliche Patch-Zyklen zunehmend obsolet.

Auch staatlich gesteuerte Akteure aus China, Iran und Nordkorea testen KI-Fähigkeiten für Spionageoperationen. Die Beschleunigung des Bedrohungszyklus führt dazu, dass Verteidigungsteams nicht mehr Tage Zeit haben, um Patches einzuspielen, bevor ein Exploit weit verbreitet ist.

„TrapDoor": Angriff auf die Blockchain-Entwickler

Eine weitere alarmierende Entwicklung entdeckten Forscher ebenfalls am Montag: Die als „TrapDoor" bezeichnete Supply-Chain-Kampagne zielt gezielt auf Entwickler der Blockchain-Ökosysteme Aptos, Sui und Solana ab. Die Angreifer verteilten mehr als 34 schadhafte Pakete über die großen Repositorys npm, PyPI und Crates.io – in insgesamt 384 verschiedenen Versionen.

TrapDoor extrahiert hochsensible Informationen: SSH-Schlüssel, Kryptowährungs-Wallet-Daten, AWS-Zugangsdaten und GitHub-Tokens. Die Schadsoftware nutzt verschiedene Auslösemechanismen, darunter Post-Install-Hooks und Build-Skripte. Besonders perfide: Die Angreifer zielen auf Dateien von KI-Entwicklungsassistenten wie .cursorrules und CLAUDE.md ab, um sich in Entwicklerumgebungen festzusetzen. Das ermöglicht laterale Bewegungen in Unternehmensnetzwerken und langfristige Persistenz auf kompromittierten Arbeitsplätzen.

Erst seit April 2026 verfolgt das FBI eine ähnliche Bedrohung: die Phishing-as-a-Service-Plattform „Kali365", die auf Microsoft-365-OAuth-Token spezialisiert ist. Über Device-Code-Flows umgehen Angreifer die Mehrfaktor-Authentifizierung und gelangen an Outlook-, Teams- und OneDrive-Daten.

Angesichts immer raffinierterer Methoden wie dem Identitätsdiebstahl durch das Abgreifen von Token wird der klassische Passwortschutz zunehmend unsicher. Erfahren Sie in diesem Gratis-Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. unhackbar machen. Passkey-Ratgeber kostenlos anfordern

Schadsoftware aus dem Arbeitsspeicher: Die neue Generation von Trojanern

Die Bedrohungslage wird zusätzlich durch hochentwickelte Remote-Access-Trojaner (RATs) verschärft, die auf speicherresidente Ausführung setzen. In Brasilien hat die Gruppe SHADOW-WATER-063 den „Banana RAT" gegen lokale Banken eingesetzt. Die Schadsoftware läuft dateilos – ihr Schadcode bleibt im verschlüsselten RAM, um traditionelle Sicherheitstools zu umgehen. Banana RAT ermöglicht Live-Übernahmen von Bankingsitzungen, fängt Pix-QR-Codes ab und leitet Überweisungen um.

Die nordkoreanische Lazarus-Gruppe setzt ebenfalls auf diese Taktik: Ihr „RemotePE RAT" nutzt einen speicherresidenten Ansatz gegen Finanz- und Kryptofirmen. Herkömmliche forensische Methoden erkennen die Infektion kaum.

Im Bereich der gezielten Spionage hat die mit Iran verbundene Gruppe Screening Serpens (auch UNC1549) eine neue RAT-Familie namens „MiniUpdate" eingeführt. Zwischen März und April 2026 griff die Gruppe Luftfahrt-, Verteidigungs- und Telekommunikationsunternehmen in den USA, Israel und den Vereinigten Arabischen Emiraten an. Die Angreifer nutzen Azure-gehostete Domains für ihre Kommandozentralen und setzen Techniken wie DLL-Side-Loading und AppDomainManager-Hijacking ein, um Sicherheitsmonitoring-Tools auszuschalten.

Der globale Betrugsmarkt: Chinesischsprachige Dienstleistungen boomen

Die Entwicklung dieser Bedrohungen wird von einem robusten Ökosystem chinesischsprachiger Phishing-Dienste gestützt. Analysen von Google Threat Intelligence zeigen eine Verschiebung hin zur Echtzeit-Interception und Tokenisierung – Angreifer nutzen zunehmend digitale Geldbörsen zur Monetarisierung. Plattformen wie „YY Lai Yu" bieten Hunderte von Phishing-Vorlagen für japanische Dienste wie PayPay, Apple und Amazon.

Seit Jahresbeginn 2026 sind zudem rund 2,8 Millionen Angriffe mit dem Scareware-Kit „CypherLoc" verzeichnet worden. Das Kit nutzt verschlüsseltes JavaScript und gefälschte Sicherheitswarnungen, um Opfer zu betrügerischen Microsoft-Support-Hotlines zu lotsen. Diese Operationen kombinieren technische Ausbeutung mit menschlicher Sozialtechnik.

Was Unternehmen und Nutzer jetzt tun müssen

Die Konvergenz von KI-gesteuerten Exploits, Supply-Chain-Schwachstellen und speicherresidenter Schadsoftware stellt Sicherheitsabteilungen vor enorme Herausforderungen. Die Entdeckung kritischer Lücken wie CVE-2025-43300 und CVE-2025-55177 für iOS-16-Nutzer in Italien zeigt das anhaltende Risiko von Zero-Click-Kontoübernahmen – selbst auf etablierten Plattformen wie WhatsApp.

Auch Unternehmenssoftware bleibt verwundbar. In Japan wurde im Lernmanagementsystem KnowledgeDeliver eine Schwachstelle (CVE-2026-5426) entdeckt: Hartcodierte Maschinenschlüssel ermöglichten eine nicht authentifizierte Remote-Code-Ausführung. Angreifer nutzten dies, um Web-Shells und Cobalt-Strike-Beacons zu installieren.

Sicherheitsexperten empfehlen einen mehrschichtigen Verteidigungsansatz: Einschränkung von Device-Code-Flows gegen OAuth-Hijacking, Implementierung von Speicherintegritätsschutz gegen dateilose RATs und der Einsatz von Conditional-Access-Richtlinien für Cloud-Umgebungen wie Azure. Die Hartnäckigkeit von Kampagnen wie TrapDoor und dem Zimperium-Abrechnungsbetrug zeigt: Sowohl Entwickler als auch Endnutzer müssen wachsamer denn je sein.

de | wissenschaft | 69418765 |