Android-Trojaner BTMOB: 5.000 Dollar für Malware-as-a-Service

Das Geschäftsmodell: Malware-as-a-Service (MaaS) ermöglicht auch technisch unerfahrenen Kriminellen den Zugriff auf hochwirksame Spionagewerkzeuge. Sicherheitsexperten schlagen Alarm.

Banking, PayPal und WhatsApp – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum Hauptziel für Trojaner wie BTMOB macht. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, um Ihr Android-Gerät effektiv vor Hackern und Datenmissbrauch zu schützen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

5.000 Dollar für eine fertige Angriffswaffe

Erstmals Anfang 2025 in Brasilien dokumentiert, wird BTMOB seit Anfang 2026 in Untergrund-Foren und über Telegram vermietet. Für eine Lizenzgebühr von rund 5.000 US-Dollar plus monatlicher Kosten erhalten Käufer einen sogenannten APK-Builder. Damit erstellen sie schädliche Android-Apps – ganz ohne Programmierkenntnisse.

Technisch setzt der Trojaner auf die Android-Barrierefreiheitsdienste (Accessibility Services). Einmal installiert, bittet die App um Freigabe dieser Dienste. Das räumt der Malware weitreichende Berechtigungen ein: Sie liest Bildschirminhalte aus, protokolliert Tastatureingaben und steuert das Gerät im Hintergrund fern.

Analysen von ESET zeigen: Die Malware wird gezielt für Phishing-Kampagnen eingesetzt. Sie täuscht die Identität von Regierungsbehörden, Krypto-Börsen oder Streaming-Diensten vor. Besonders in Argentinien gaben Angreifer vor, offizielle staatliche Stellen zu sein, um Nutzer zur Installation zu bewegen.

Banking-Trojaner legen um 196 Prozent zu

BTMOB ist nur die Spitze eines Eisbergs. Die Angriffe durch Banking-Trojaner stiegen im ersten Quartal 2026 um 196 Prozent – auf insgesamt 1,24 Millionen dokumentierte Fälle. Der prognostizierte wirtschaftliche Gesamtschaden durch mobile Cyberkriminalität: 442 Milliarden Euro für 2026.

Haupttreiber ist Künstliche Intelligenz. Rund 86 Prozent aller Phishing-Kampagnen gelten mittlerweile als KI-gesteuert. Die Angreifer versenden täglich etwa 3,4 Milliarden Nachrichten, die sprachlich kaum noch von legitimer Kommunikation zu unterscheiden sind.

Neben BTMOB identifizierten Analysten weitere Großkampagnen. Die Trapdoor-Malware nutzte manipulierte Software-Pakete auf Entwickler-Plattformen wie npm und PyPI. Ziel: Kryptowährungs-Wallets und Zugangsdaten von AI-Entwicklern. In der Spitze wurden über 450 manipulierte Android-Apps mit 24 Millionen Downloads gezählt. Der Trojaner Mamont soll für mehr als 70 Prozent aller Android-Angriffe verantwortlich sein.

GTA 6 als Köder, Smishing als Falle

Kriminelle nutzen gezielt gesellschaftliche Trends. NordVPN warnt vor einer massiven Betrugswelle rund um den Release von GTA 6. Obwohl offizielle Vorbestellungen noch nicht möglich sind, kursieren gefälschte Webseiten, die Vorab-Zugänge anbieten. Mitte Mai 2026 tarnten Angreifer ihre Malware als NVIDIA-Grafikkarten-Treiber, um Login-Daten für den Rockstar Social Club zu erbeuten.

Ein Fall aus Hamm zeigt die Perfidität moderner Angriffe: Eine Frau verlor durch eine täuschend echte Smishing-Nachricht einen mittleren fünfstelligen Betrag. Die SMS war in einen bestehenden, verifizierten Chatverlauf ihres Kreditkartenanbieters eingebettet.

Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, die aktuelle Trends wie den GTA-6-Release für ihre Zwecke ausnutzen. Erfahren Sie in diesem kostenlosen PDF-Ratgeber, wie Sie Ihr Android-Smartphone durch die richtigen Updates und Einstellungen dauerhaft vor Malware und Datenverlust absichern. 5 Schritte zur Smartphone-Sicherheit gratis entdecken

Beim Abrechnungsdienstleister Unimed wurden zehntausende Datensätze gestohlen – darunter sensible Gesundheitsdaten von rund 4.100 Patienten des Klinikums Karlsruhe. Das BSI warnte: Diese Daten könnten nun für hochgradig personalisierte Phishing-Angriffe genutzt werden.

Selbst Hardware-Hersteller geraten in die Kritik. Eine vorinstallierte App auf Motorola-Smartphones – darunter das Razr 60 Ultra – injizierte Affiliate-Codes in die Amazon-App. Über eine Browser-Umleitung wurden Provisionen für Nutzer-Einkäufe abgezweigt. Erst das manuelle Deaktivieren der Smart Feed App stoppte den Vorgang.

Nicht patchbare Lücke, EZB-Krisensitzung

Die technische Basis vieler Angriffe: Sicherheitslücken, die sich nicht kurzfristig schließen lassen. Eine kritische Schwachstelle im BootROM von Qualcomm-Chips (CVE-2026-25262) gilt als nicht patchbar. Millionen Geräte bleiben dauerhaft anfällig.

Die Europäische Zentralbank hat reagiert und Vertreter der 111 größten Banken der Eurozone zu einer Krisensitzung geladen. Thema: Abwehr von Angriffen auf das mobile Banking.

Ermittlungsbehörden verzeichnen Erfolge. Bei der Operation FRONTIER+ III gab es weltweit mehr als 3.000 Festnahmen. Vermögenswerte in Höhe von rund 752 Millionen US-Dollar wurden eingefroren. Dennoch: Nur 18 Prozent der Nutzer sind bereit, für Sicherheitssoftware auf mobilen Geräten zu bezahlen.

Android 17 soll Sideloading massiv erschweren

Google plant drastische Änderungen. Ein verschärftes reCAPTCHA-System in den Google-Play-Services setzt künftig zwingend offizielle Google-Dienste voraus. Nutzer alternativer Android-Distributionen könnten von Sicherheitsfunktionen ausgeschlossen werden.

Mit Android 17 wird die Installation von Apps aus unbekannten Quellen massiv erschwert. Geplant sind eine 24-stündige Wartezeit, ein obligatorischer Systemneustart sowie eine biometrische Bestätigung, bevor eine extern bezogene App auf die Accessibility-API zugreifen kann.

Sicherheitsexperten begrüßen den Schritt zur Eindämmung von MaaS-Plattformen wie BTMOB. Verfechter offener Systeme warnen vor einer zunehmend geschlossenen Infrastruktur, die die Wahlfreiheit der Nutzer einschränkt.

de | wissenschaft | 69426323 |