Android-Malware: Neue Angriffswelle plündert Bankkonten
Sicherheitsforscher warnen vor ausgeklügelten Android-Trojanern, die NFC-Technologie missbrauchen und menschliches Verhalten imitieren, um Bankdaten zu stehlen. Die Bedrohungslage eskaliert rapide.
Cyberkriminelle starten eine beispiellose Offensive gegen Android-Nutzer. Mehrere neue Trojaner-Familien nutzen ausgeklügelte Techniken, um Bankdaten zu stehlen – von NFC-Betrug bis hin zu Malware, die menschliches Verhalten imitiert.
Die jüngste Angriffswelle zeigt eine dramatische Eskalation der Bedrohungslage. Allein in den vergangenen 72 Stunden identifizierten Sicherheitsforscher mehrere neue Schadsoftware-Familien, die gezielt auf Finanzdaten abzielen. Was die Attacken besonders gefährlich macht: Sie nutzen Kernfunktionen des Android-Systems wie Near-Field Communication (NFC) aus und umgehen modernste Sicherheitssysteme durch künstliche Intelligenz.
Die Entdeckungen unterstreichen das wachsende Risiko für Millionen von Android-Nutzern, die ihre Smartphones für Bankgeschäfte und tägliche Transaktionen verwenden.
“Tap-and-Steal”: NFC wird zur Waffe
Besonders alarmierend ist die Explosion bösartiger Apps, die Zahlungsdaten über NFC stehlen – jene Technologie, die kontaktloses Bezahlen ermöglicht. Das Cybersicherheitsunternehmen Zimperium entdeckte seit April 2024 mehr als 760 schädliche Apps, die NFC und Host Card Emulation (HCE) missbrauchen.
Die Kampagne begann mit wenigen isolierten Fällen, hat aber inzwischen ihre Reichweite auf Russland, Polen, Tschechien und die Slowakei ausgeweitet. Deutsche Nutzer könnten als nächstes ins Visier geraten.
Die bösartigen Apps tarnen sich als legitime Finanzinstitute, darunter Großbanken wie Santander und Tinkoff Bank oder Zahlungsplattformen wie Google Pay. Sie verleiten Nutzer dazu, sie als Standard-Zahlungsmethode zu setzen. Dadurch kann die Malware die Kommunikation zwischen Smartphone und Kartenterminal abfangen.
Die gestohlenen Zahlungsdaten werden an über 70 identifizierte Kommando-Server oder dutzende Telegram-Bots weitergeleitet, die zur Koordinierung der Angriffe dienen.
Trojaner lernt menschliches Verhalten
Eine beunruhigende Entwicklung zeigt der neue Android-Trojaner “Herodotus”: Er imitiert bewusst menschliches Verhalten, um fortschrittliche Betrugserkennungssysteme zu umgehen. Statt Befehle in Maschinengeschwindigkeit auszuführen, baut Herodotus zufällige Pausen von bis zu drei Sekunden zwischen Tastatureingaben ein.
Diese Taktik zielt darauf ab, die Verhaltensanalytik von Banken zu täuschen, die automatisierte Angriffe erkennen soll. Ein Katz-und-Maus-Spiel auf höchstem technischen Niveau.
Herodotus wird als Malware-as-a-Service in Untergrund-Foren verkauft und gibt Angreifern vollständige Fernkontrolle über infizierte Geräte. Über Androids Barrierefreiheitsdienste streamt die Software den Bildschirm des Opfers, erstellt täuschend echte Banking-App-Overlays und fängt SMS-Codes ab.
Aktive Kampagnen wurden bereits in Italien und Brasilien beobachtet – Deutschland könnte folgen.
Mehrfronten-Angriff mit BankBot und GhostGrab
Die Bedrohungslage verschärft sich durch weitere potente Android-Trojaner. “BankBot-YNRK” prüft zunächst, ob er auf einem echten Gerät statt in einem Emulator läuft, bevor er Finanzdaten stiehlt. Er bevorzugt bestimmte Hersteller wie Oppo, Google Pixel und Samsung.
“DeliveryRAT” verbreitet sich über Telegram und tarnt sich als Essenslieferungs- oder Banking-Apps für russische Nutzer. Besonders raffiniert agiert “GhostGrab”: Diese Malware-Familie verfolgt eine doppelte Monetarisierungsstrategie.
GhostGrab sammelt nicht nur umfassende Finanzdaten – Bankverbindungen, Kartendaten und persönliche Informationen – sondern nutzt infizierte Geräte heimlich zum Cryptocurrency-Mining. Über gefälschte WebView-Seiten, die echte Banking-Prozesse nachahmen, lockt sie Nutzer zur Preisgabe sensibler Daten.
Branche reagiert auf Bedrohung
Der Anstieg dieser vielfältigen und ausgeklügelten Angriffe zeigt ein hochgradig anpassungsfähiges Cyberkriminalitäts-Ökosystem. Malware-as-a-Service-Plattformen senken die Einstiegshürden für weniger versierte Angreifer und ermöglichen großflächige Kampagnen.
Die gezielte Umgehung von Verhaltensbiometrie deutet darauf hin, dass Bedrohungsakteure aktiv die neuesten Sicherheitstechnologien von Finanzinstituten studieren und Gegenmaßnahmen entwickeln.
Mastercard kündigte kürzlich eine neue Threat-Intelligence-Lösung an, um Finanzinstitute beim Kampf gegen solche Angriffe zu unterstützen. Das Ziel: Attacken stoppen, bevor finanzielle Schäden entstehen.
Schutzmaßnahmen für Verbraucher
Experten raten dringend zu folgenden Schutzmaßnahmen:
- Apps ausschließlich aus dem Google Play Store herunterladen
- Misstrauen bei Apps, die umfangreiche Berechtigungen fordern (besonders Barrierefreiheitsdienste)
- Anfragen zur Änderung der Standard-Zahlungs-App kritisch prüfen
- App-Berechtigungen regelmäßig überprüfen
- NFC deaktivieren, wenn nicht benötigt
Anzeige: Übrigens: Wer sich vor NFC-Betrug, Android-Trojanern und Datenklau schützen möchte, findet eine kompakte Schritt-für-Schritt-Hilfe. Das kostenlose Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen für Ihr Android-Smartphone – praxistauglich und ohne teure Zusatz-Apps, inklusive Tipps für Banking, PayPal, WhatsApp und Online-Shopping. So schließen Sie unterschätzte Lücken in wenigen Minuten. Kostenloses Android-Sicherheitspaket jetzt sichern
Für Finanzinstitute wird eine mehrstufige Verteidigungsstrategie notwendig: Geräte-Integritätschecks, fortschrittliche Verhaltensüberwachung und Echtzeit-Bedrohungsanalyse müssen Hand in Hand arbeiten.
Die Entwicklung zeigt: Der Kampf zwischen Cybersicherheit und Cyberkriminalität erreicht eine neue Dimension – mit dem Smartphone als zentralem Schlachtfeld.
