Android-Trojaner OverlayPhantom: 180 Bank-Apps im Visier

Die Bedrohungslage für mobile Banking-Nutzer hat sich dramatisch verschärft.

„OverlayPhantom" – Trojaner mit 180 Zielen

Forscher von Cyble Research Labs haben einen hochentwickelten Android-Banking-Trojaner entdeckt, der seit Mai 2025 aktiv ist. OverlayPhantom verbreitet sich über täuschend echte Phishing-Webseiten, die etwa TikTok oder ID Austria imitieren. Wer darauf hereinfällt, lädt vermeintliche Google-Play-Updates herunter – in Wahrheit eine Schadsoftware.

Angesichts der wachsenden Bedrohung durch Banking-Trojaner wie OverlayPhantom ist ein gezielter Schutz für Ihr Mobilgerät unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone mit fünf einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Der Trojaner missbraucht den Android-Bedienungshilfen-Dienst, um dauerhaft die Kontrolle zu übernehmen. Ursprünglich für Menschen mit Behinderungen gedacht, ermöglicht dieser Dienst dem Schädling, Bildschirminhalte zu überwachen und eigenständig in Apps einzugreifen. Die Liste der Ziele ist lang: mehr als 180 Bank- und Kryptowährungs-Apps in zehn Ländern, darunter Deutschland, Frankreich, Großbritannien und die USA.

Besonders perfide: Die technische Infrastruktur von OverlayPhantom arbeitet mit drei verschiedenen Ports. Während einer für Befehle des Steuerungsservers zuständig ist, überträgt ein anderer den Gerätestatus. Der dritte Port streamt den Bildschirm in Echtzeit – die Angreifer sehen mit, was das Opfer eingibt. Über 30 Fernbefehle stehen den Kriminellen zur Verfügung.

Explosionsartiger Anstieg bei NFC-Angriffen

Doch nicht nur Trojaner, die auf Bildschirminhalte zielen, bereiten Sicherheitsexperten Sorgen. Kaspersky verzeichnet einen alarmierenden Trend: NFC-Relay-Angriffe – Angriffe auf die kontaktlose Zahlungsschnittstelle – sind zwischen Januar und April 2026 um 188 Prozent gestiegen. Rund 35.600 solcher Attacken wurden blockiert, im Vorjahreszeitraum waren es nur 12.300.

Die Malware-Familien SuperCard X, PhantomCard und NGate treiben diese Entwicklung an. Die Angreifer nutzen zwei Methoden: Beim „Direct NFC"-Schema stehlen sie Kartendaten direkt vom Gerät. Beim „Reverse NFC"-Schema werden Opfer dazu gebracht, eine manipulierte NFC-App zu verwenden, die unbefugte Überweisungen ermöglicht. Bislang konzentrieren sich diese Angriffe auf Russland, breiten sich aber zunehmend nach Europa und Lateinamerika aus.

Parallel dazu beobachtet die Google Threat Intelligence Group einen Wandel bei Phishing-Angriffen. Chinesischsprachige Angreifer setzen auf „Live Credential Interception" – den Abgriff von Zugangsdaten in Echtzeit. Über Plattformen wie YY Lai Yu, die seit August 2024 aktiv ist, werden Phishing-Links per RCS und iMessage verschickt. Diese umgehen die üblichen SMS-Sicherheitsfilter. Die Plattformen verfügen über Live-Administrationspanels, mit denen Kriminelle Einmalpasswörter und Tokens in Echtzeit abfangen.

Malware für jedermann: Das Ende der Einstiegshürden

Ein weiterer alarmierender Trend ist die Professionalisierung der Cyberkriminalität. Der Android-Trojaner BTMOB, seit Februar 2025 aktiv, wird als Malware-as-a-Service (MaaS) vermarktet. Für eine einmalige Lizenzgebühr von umgerechnet rund 4.600 Euro erhalten Käufer einen „No-Code"-APK-Baukasten – Programmierkenntnisse sind nicht nötig. Hinzu kommen monatliche Kosten.

ESET-Forscher berichten, dass der Baukasten im Januar 2026 kurzzeitig kostenlos in einem Darknet-Forum angeboten wurde. Die Folgen sind absehbar: Die Malware mutiert rasant und verbreitet sich explosionsartig. BTMOB übernimmt das Gerät vollständig, zeichnet Aktivitäten auf, erstellt Screenshots und stiehlt Daten. Aktuelle Kampagnen zielen auf Finanznutzer in Argentinien und Brasilien, doch die Flexibilität des Baukastens ermöglicht globale Anwendungen.

Die Geschwindigkeit, mit der neue Varianten entstehen, macht die Erkennung durch herkömmliche Sicherheitssoftware nahezu unmöglich. Wie OverlayPhantom nutzt auch BTMOB die Android-Bedienungshilfen zur Rechteausweitung.

GTA-6-Hype als Einfallstor

Cyberkriminelle nutzen auch kulturelle Großereignisse für ihre Zwecke. NordVPN meldet einen Anstieg bösartiger Aktivitäten rund um den GTA-6-Release am 19. November 2026. Angreifer verteilen gefälschte Installationsdateien, Beta-Keys und sogenannte „Repacks" für PC und Android. Da es derzeit keine offizielle Mobilversion oder öffentliche Beta gibt, enthält jede solche Datei mit hoher Wahrscheinlichkeit Schadsoftware.

Hinzu kommen ungepatchte Sicherheitslücken im Android-Ökosystem. Ein seit 2022 bekannter Fehler in Chromiums Background Fetch API bleibt weiterhin ungepatcht. Angreifer können damit mobile Browser in Botnet-Knoten verwandeln – unsichtbare Verbindungen zu Steuerungsservern, die selbst nach einem Browser-Neustart bestehen bleiben.

Datenschutzbedenken bei vorinstallierten Apps

Aktuelle Berichte über das Motorola Razr 60 Ultra werfen zudem Fragen zur Privatsphäre auf. Nutzer entdeckten, dass die vorinstallierte App „Smart Feed" Amazon-Links umleitete und Partner-Affiliate-Codes einfügte. Ob es sich um eine bewusste Monetarisierungsstrategie oder eine Kompromittierung der App handelt, ist unklar. Sicherheitsexperten empfehlen, die Funktion zu deaktivieren.

Analyse: Eine Zeitenwende für die mobile Sicherheit

Die Kombination aus No-Code-Malware-Baukästen, Hardware-basierten NFC-Exploits und modernen Messaging-Protokollen wie RCS markiert einen Wendepunkt. Die Branche erlebt den Übergang von opportunistischem Datendiebstahl zu einer dienstleistungsorientierten Wirtschaft, in der hochentwickelte Werkzeuge für jeden zugänglich sind, der zu zahlen bereit ist.

Da Cyberkriminelle ihre Methoden zur Übernahme von Android-Geräten ständig verfeinern, reichen Standardeinstellungen oft nicht mehr aus. IT-Experten empfehlen daher diese fünf zentralen Sicherheitsmaßnahmen, um WhatsApp, PayPal und Ihre Banking-Apps wirksam zu schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Die Abhängigkeit nahezu aller großen Banking-Trojaner von den Android-Bedienungshilfen offenbart eine strukturelle Schwachstelle des Betriebssystems. Der Dienst bietet zwar wichtige Funktionen, seine Fähigkeit, die standardmäßige Sicherheitsisolierung zu umgehen, macht ihn zum idealen Angriffsziel.

Ausblick: Die Bedrohung wächst

Für den Rest des Jahres 2026 erwarten Sicherheitsexperten einen weiteren Anstieg mobiler Banking-Bedrohungen. Der kommerzielle Erfolg des MaaS-Modells wird die Entwicklung noch benutzerfreundlicherer Malware-Baukästen fördern – möglicherweise mit integrierter künstlicher Intelligenz zur Automatisierung von Phishing-Inhalten.

NFC-Relay-Angriffe werden sich über ihre derzeitigen geografischen Hochburgen hinaus ausbreiten, sobald kontaktloses Bezahlen weltweit zum Standard wird. Für Unternehmen bedeutet die Entwicklung: Multi-Faktor-Authentifizierung per SMS oder verschlüsselten Messaging-Apps ist nicht mehr sicher. Experten empfehlen eine stärkere Integration biometrischer Verfahren und den schrittweisen Entzug sensibler Berechtigungen für nicht essentielle Anwendungen.

de | wissenschaft | 69424421 |