BTMOB-Trojaner: Android-Schadsoftware jetzt ohne Programmierkenntnisse

Cybersicherheitsforscher schlagen Alarm: Die Bedrohungslandschaft für Mobilgeräte verändert sich grundlegend. Im Zentrum steht der Android-Trojaner BTMOB, der mit einem vereinfachten Baukasten auskommt. Angreifer können damit maßgeschneiderte Schadsoftware erstellen – ohne tiefere Programmierkenntnisse. Gleichzeitig steigen NFC-Angriffe massiv an, und KI-getarnte Phishing-Kampagnen fluten die Netzwerke.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Der Baukasten für Cyberkriminelle

Der BTMOB-Trojaner ist kein neues Phänomen. Erste Versionen tauchten Anfang 2025 auf und entwickelten sich aus der Malware-Familie SpySolr weiter. Doch die jüngste Innovation, die im Mai 2026 dokumentiert wurde, verändert das Spiel: Ein No-Code-APK-Builder erlaubt es Angreifern, innerhalb von Minuten neue Schadsoftware-Varianten zu generieren.

Das Geschäftsmodell dahinter folgt dem Prinzip Malware-as-a-Service (MaaS). Die Entwickler bieten eine lebenslange Lizenz für umgerechnet rund 4.600 Euro an, ergänzt durch monatliche Gebühren. Kunden erhalten damit die volle Infrastruktur: Datenklau, Bildschirmaufnahmen und Fernsteuerung infizierter Geräte.

Besonders perfide: BTMOB missbraucht die Android-Barrierefreiheitsdienste (Accessibility Services). Diese eigentlich für Menschen mit Behinderungen gedachte Funktion wird genutzt, um tiefe Systemberechtigungen zu erlangen.

Die aktuellen Kampagnen konzentrieren sich auf Südamerika. In Argentinien geben sich Angreifer als Steuerbehörden aus, in Brasilien verteilen sie die Malware über soziale Netzwerke wie X, Instagram und Telegram. Neben Regierungsinstitutionen stehen auch Streaming-Dienste und Kryptoplattformen im Visier.

Explosion der NFC-Angriffe

Parallel dazu zeigt eine Analyse von Kaspersky eine dramatische Entwicklung bei Angriffen auf die Nahfeldkommunikation (NFC). In den ersten vier Monaten 2026 stieg die Zahl der NFC-Relay-Angriffe um 188 Prozent im Vergleich zum Vorjahreszeitraum. Rund 35.600 solcher Attacken wurden blockiert – 2025 waren es im gleichen Zeitraum nur 12.300.

Die Angreifer setzen auf zwei Methoden: Beim Direct NFC werden Kartendaten aus der Ferne ausgelesen. Die Reverse NFC-Variante ist noch tückischer: Opfer werden manipuliert, selbst Transaktionen an Geldautomaten durchzuführen, während die Malware die Autorisierung umleitet. Besonders betroffen sind Russland, Europa und Lateinamerika.

Ein weiterer Großeinsatz des Zimperium-Forschungsteams förderte fast 250 gefälschte Apps zutage. Sie tarnten sich als beliebte Titel wie Minecraft oder TikTok und buchten heimlich Premium-Dienste. Die Schadsoftware nutzte JavaScript-Injection und automatisierte WebView-Interaktionen, um Sicherheitsmechanismen zu umgehen und Einmalpasswörter (OTPs) abzufangen. Die meisten Opfer gab es in Malaysia, Rumänien, Thailand und Kroatien.

Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, besonders wenn Updates ignoriert werden. Dieser kostenlose Report zeigt Ihnen, wie Sie Sicherheitslücken schließen und Ihr Android-Gerät dauerhaft vor Malware schützen. Kostenlosen Android-Sicherheitsratgeber herunterladen

KI als Einfallstor

Die künstliche Intelligenz dient nicht nur der Abwehr – sie wird selbst zur Waffe. Kaspersky registrierte zwischen Januar und Anfang Mai 2026 über 92.000 Malware-Angriffe, die sich als KI-Dienste tarnten. Fast die Hälfte nutzte das ChatGPT-Branding, 18 Prozent Claude und weitere 18 Prozent Gemini. Dahinter versteckten sich über 15.000 einzigartige Schadsoftware-Proben.

Die APT-Gruppe Silver Fox wurde im Mai 2026 dabei beobachtet, wie sie gefälschte Claude-Apps für Windows, macOS und Linux verbreitete. Noch gezielter ging die TrapDoor-Supply-Chain-Attacke vor, die am 22. Mai 2026 begann. Über 380 bösartige Versionen von 34 verschiedenen Paketen wurden in den Repositories npm, PyPI und Crates.io platziert. Zielgruppe: Entwickler aus Krypto-, DeFi- und KI-Bereichen. Die Angreifer stahlen AWS-Keys, GitHub-Tokens und SSH-Zugangsdaten.

Besonders raffiniert: Sie setzten Prompt-Injection-Techniken gegen KI-gestützte Coding-Assistenten wie Cursor ein, um ihre Reichweite zu vergrößern.

Staatliche Akteure mit neuen Methoden

Während No-Code-Tools die Masse bedienen, treiben staatlich unterstützte Gruppen die technische Raffinesse voran. Die mit Nordkorea verbundene Lazarus-Gruppe setzt einen neuen dateilosen RAT namens RemotePE ein. Die Malware operiert vollständig im Arbeitsspeicher und hinterlässt keine Spuren auf der Festplatte. Ein dreistufiger Prozess entschlüsselt die Nutzlasten über die Windows-Datenverschlüsselungsschnittstelle DPAPI und umgeht dabei Endpunkt-Erkennungssysteme (EDR).

Entdeckt wurde RemotePE bei einem Vorfall in einer DeFi-Organisation. Der Erstzugriff erfolgte über Social Engineering auf Telegram. Die manuelle Freigabe der Schadsoftware erfolgt typischerweise während der UTC+9-Zeitzone – ein klares Indiz für die menschliche Steuerung hinter staatlicher Spionage.

Die Cloud-Atlas-Gruppe wiederum manipuliert die Windows-Terminaldienste-Bibliothek (termsrv.dll), um mehrere parallele RDP-Sitzungen auf kompromittierten Systemen zu ermöglichen. Ziel sind Regierungs- und Diplomatie-Organisationen in Russland und Belarus. Über reverse SSH-Tunnel und Tor sichern sie sich dauerhaften Zugriff.

Die Abwehr rüstet auf

Die Demokratisierung der Cyberkriminalität stellt Unternehmen vor enorme Herausforderungen. War früher eine gezielte Kampagne aufwendig, dauert es heute nur Minuten, eine neue, lokalisierte Malware-Variante zu erstellen. Die TrapDoor-Kampagne etwa wurde im Schnitt nach etwas mehr als fünf Minuten erkannt – ein beleg für das Tempo moderner automatisierter Angriffe.

Ein Lichtblick: SK Telecom meldet, dass seine KI-basierte Analyse-Technologie für seine Abonnenten finanzielle Verluste in Höhe von umgerechnet rund 14,5 Millionen Euro verhindert hat. Durch die Analyse von 3.500 schädlichen Installationsdateien und die Identifizierung von knapp 400 Command-and-Control-Domains konnten über 400 Kunden geschützt werden.

Was jetzt zu tun ist

Die Sicherheitsexperten raten zu einem Bündel an Maßnahmen. Unternehmen sollten ihre Richtlinien für Mobilgeräte (MDM) verschärfen – insbesondere bei der Nutzung von Barrierefreiheitsdiensten und der Installation von Apps aus Drittquellen. Angesichts der NFC-Angriffswelle sind Finanzinstitute gefordert, zusätzliche biometrische oder mehrstufige Verifikationen für hochwertige mobile Zahlungen einzuführen.

Die traditionellen Erkennungsmerkmale von Phishing verschwimmen zunehmend. SEO-Vergiftung und KI-gestützte Manipulation machen Betrugsversuche für Normalnutzer kaum noch erkennbar. Die Last der Abwehr verschiebt sich daher immer stärker auf automatisierte, KI-gesteuerte Sicherheitsplattformen – auf Netzbetreiber-Ebene und in den Unternehmen selbst.

de | wissenschaft | 69422771 |