RedHook-Trojaner, Android-Malware

RedHook-Trojaner: Neue Android-Malware leert Bankkonten unbemerkt

Veröffentlicht: 15.07.2026 um 02:32 Uhr, Redaktion boerse-global.de

Die Android-Malware RedHook nutzt Entwickler-Tools zur Systemkontrolle und umgeht Sicherheitsmechanismen wie die Zwei-Faktor-Authentisierung.

Android-Trojaner RedHook: Neue Variante leert Bankkonten
Nahaufnahme eines Smartphones mit einer Banking-App, überlagert von einem roten, digitalen Störsignal, das eine Cyberbedrohung symbolisiert. Illustration mit AI erstellt übermittelt durch boerse-global.de

Der Trojaner ist darauf spezialisiert, Bankkonten unbemerkt zu leeren.

Laut Analysen von Group-IB nutzt die Schadsoftware eine ungewöhnliche Methode über die drahtlose Android Debug Bridge (Wireless ADB). So erlangt sie tiefgreifende Kontrolle über infizierte Mobilgeräte.

Technischer Zugriff ohne Root-Rechte

Im Gegensatz zu herkömmlicher Malware muss RedHook keine komplexen Sicherheitslücken ausnutzen. Stattdessen verwendet sie legitime Entwickler-Werkzeuge von Android.

Die Kombination aus Wireless ADB und dem Tool Shizuku verschafft der Software einen Shell-Zugriff mit der Kennung UID 2000. Das ermöglicht Angreifern, das Gerät auf Systemebene zu steuern – ohne Nutzer-Autorisierung oder Systemmanipulation.

Der Infektionsweg beginnt mit Social Engineering. Opfer erhalten betrügerische Nachrichten per SMS oder Messenger wie WhatsApp. Auch gefälschte Anrufe von angeblichen Banken oder Regierungsstellen sind im Umlauf.

Die Angreifer locken Nutzer auf präparierte Webseiten, die dem Google Play Store nachempfunden sind. Dort laden die Opfer manipulierte Apps herunter, die sich als offizielle Anwendungen tarnen.

Automatisierte Übernahme des Systems

Nach der Installation fordert die Malware Berechtigungen für die Bedienungshilfen (Accessibility Services) an. Gewährt der Nutzer diese, kann RedHook eigenständig Systemeinstellungen ändern.

Anzeige

Die neue Android-Malware RedHook nutzt eine unsichtbare Aktivität und 53 Befehle, um Bankkonten unbemerkt zu leeren – ohne Root-Rechte. Unser kostenloser Guide zeigt Ihnen in 5 Schritten, wie Sie sich schützen. Jetzt Sicherheits-Guide anfordern

Die Software aktiviert selbstständig die Entwickleroptionen und schaltet die Wireless-ADB-Funktion frei. Ein Repertoire von 53 Befehlen steht zur Verfügung, gesteuert von einem externen Server.

Zu den Funktionen gehören:
- Live-Streaming des Bildschirms und Screenshots
- Aufzeichnung von Tastatureingaben (Keylogging)
- Abfangen von SMS-Nachrichten und Auslesen von Kontakten
- Fernsteuerung von Gesten wie Wischen und Tippen
- Aktivierung der Frontkamera und Neustart des Geräts

Die Hintermänner können so Sicherheitsmechanismen wie die Zwei-Faktor-Authentisierung umgehen. Sie greifen Einmal-Codes direkt aus SMS-Benachrichtigungen ab oder manipulieren den Sperrbildschirm.

Fortgeschrittene Tarnung und Persistenz

Die Entwickler haben die Persistenzmechanismen deutlich verbessert. Zwei separate Dienste überwachen sich gegenseitig und starten bei Beendigung sofort neu.

Die Malware nutzt eine unsichtbare Aktivität in der Größe von einem mal einem Pixel. Sie spielt lautlose Audiodateien ab, um im Hintergrund aktiv zu bleiben. WakeLocks verhindern, dass der Prozessor in den Ruhemodus geht – so bleibt die Verbindung zum Server dauerhaft bestehen.

Zielregionen und Schutzmaßnahmen

Anzeige

Haben Sie eine App aus einer gefälschten Play-Store-Seite installiert? Dann könnte Ihr Gerät bereits mit RedHook infiziert sein. Erfahren Sie in unserem Leitfaden, wie Sie die Malware erkennen und entfernen – bevor Ihr Konto geleert wird. Schutz-Guide jetzt sichern

Aktuell beobachten Sicherheitsforscher verstärkte Aktivitäten in Südostasien. Besonders Nutzer in Vietnam und Indonesien stehen im Fokus. Eine Ausweitung auf andere Regionen ist nicht ausgeschlossen.

Experten raten: Installiert Apps ausschließlich aus dem offiziellen Google Play Store. Prüft Anfragen nach Berechtigungen für Bedienungshilfen kritisch. Lasst die Entwickleroptionen deaktiviert und nutzt Sicherheitsfunktionen wie Play Protect. Seid vorsichtig bei Links in Nachrichten von unbekannten Absendern.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69769633 |