Android-Trojaner durchbrechen Banking-Sicherheit trotz neuer Gesetze
Schädlinge täuschen sogar Verhaltenserkennung
Zwei hochentwickelte Android-Schädlinge bedrohen das Online-Banking: “GhostGrab” und “Herodotus” unterlaufen moderne Sicherheitssysteme genau dann, wenn neue Regulierungen den Verbraucherschutz stärken sollen.
Die Entdeckung der Malware fällt zusammen mit einer kritischen Frist für Finanzinstitute in New York. Bis zum 1. November müssen alle von der New York Department of Financial Services (NYDFS) regulierten Unternehmen verschärfte Multi-Faktor-Authentifizierung (MFA) einführen. Die neue Regel unter 23 NYCRR Part 500 verlangt MFA für jeden Zugriff auf Unternehmenssysteme – eine deutliche Verschärfung bisheriger Bestimmungen.
Doch während Regulierer die Sicherheitsstandards anheben, passen sich Cyberkriminelle rasant an. Können traditionelle Abwehrmaßnahmen mit der Bedrohung noch Schritt halten?
Die Cybersecurity-Firma CYFIRMA analysierte “GhostGrab”, eine mehrschichtige Android-Malware, die Datendiebstahl mit heimlichem Kryptomining kombiniert. Der Trojaner verbreitet sich über gefälschte Banking-App-Updates und nutzt einen zweistufigen Angriff zur Verschleierung.
Einmal aktiv, setzt GhostGrab täuschende WebView-Phishing-Seiten ein, um sensible Daten abzugreifen: Kreditkartendaten, Online-Banking-Zugänge und ATM-PINs. Besonders perfide: Er fängt SMS-Nachrichten ab, um Einmal-Passwörter (OTPs) zu stehlen – eine gängige Form der Zwei-Faktor-Authentifizierung.
Parallel dazu analysierte ThreatFabric den Android-Trojaner “Herodotus”, der bereits in Italien und Brasilien aktive Kampagnen führt. Seine Besonderheit: Er imitiert menschliches Verhalten, um Erkennungssysteme zu umgehen. Durch zufällige Verzögerungen beim Tippen in Eingabefelder täuscht Herodotus biometrische Verhaltensysteme, die automatisierten Betrug aufspüren sollen.
Beide Schädlinge missbrauchen Androids Barrierefreiheitsdienste, um gefälschte Login-Bildschirme über echte Banking-Apps zu legen.
Anzeige: Apropos Android-Banking und Phishing-Overlays: Wer sein Smartphone jetzt gezielt absichern möchte, kann mit fünf einfachen Maßnahmen viele Angriffswege schließen – ohne teure Zusatz-Apps. Ein kostenloser Ratgeber zeigt Schritt für Schritt die wichtigsten Einstellungen, prüft Berechtigungen und erklärt, wie Sie WhatsApp, PayPal und Online-Banking sicherer nutzen. Enthalten sind Checklisten für Updates, App-Quellen, Berechtigungen und Schutz vor SMS-Betrug. Jetzt kostenloses Android-Sicherheitspaket sichern
Europa plant noch schärfere Regeln
Die Bedrohung durch raffinierte Trojaner trifft auf verschärfte Regulierung. Die New Yorker MFA-Frist gilt als Modell für andere Jurisdiktionen und setzt neue Maßstäbe für Cybersicherheit im Finanzsektor.
Europa zieht nach: Die Europäische Kommission arbeitet an der Zahlungsdiensterichtlinie 3 (PSD3) und der Zahlungsdiensteverordnung (PSR). Diese sollen die starke Kundenauthentifizierung weiter stärken, den Informationsaustausch über Betrug zwischen Zahlungsdienstleistern verbessern und ein System zur IBAN-Verifizierung gegen Fehlüberweisungen einführen.
Die Europäische Bankenaufsichtsbehörde (EBA) will 2026 technische Standards zu den neuen Vorschriften entwickeln.
Katz-und-Maus-Spiel eskaliert
Das gleichzeitige Aufkommen fortschrittlicher Malware und strengerer Sicherheitsregeln zeigt die Intensität des Wettrüstens zwischen Cyberkriminellen und Finanzbranche. Herodotus zielt gezielt auf Verhaltensanalysen ab – ein Beweis dafür, dass Bedrohungsakteure sich aktiv an die Abwehrmechanismen der Banken anpassen.
“Herodotus ist darauf ausgelegt, Geräte zu übernehmen und dabei menschliches Verhalten zu imitieren, um biometrische Verhaltenserkennungen zu umgehen”, erklärt ThreatFabric in seinem Bericht.
Diese Entwicklung zwingt Finanzinstitute über einzelne Verteidigungsebenen hinaus zu denken. Während MFA-Vorschriften ein wichtiger Fortschritt sind, zeigt die Fähigkeit von GhostGrab und Herodotus, SMS-Codes abzufangen, die Grenzen dieser Methode auf.
Experten plädieren zunehmend für FIDO2/WebAuthn oder spezielle Authenticator-Apps sowie geräteeigene Bedrohungserkennung.
Ausblick: KI gegen KI
Die Finanzbranche wird voraussichtlich ihre Einführung von Sicherheitstechnologien der nächsten Generation beschleunigen. Die Grenzen traditioneller Abwehrmechanismen treiben Investitionen in KI-gestützte Betrugserkennung, erweiterte Verhaltensbiometrie und sicherere MFA-Formen voran.
Der finale PSD3-Text wird Ende 2025 erwartet, die nationale Umsetzung wahrscheinlich bis Mitte 2027. In den USA dürfte die NYDFS die Durchsetzung ihrer erweiterten MFA-Regeln priorisieren – mit empfindlichen Strafen bei Nichteinhaltung.
Für Verbraucher bedeutet das: Höchste Wachsamkeit ist gefordert. Niemals Links in unerwarteten SMS anklicken, Apps nur aus offiziellen Stores herunterladen und verdächtige Aktivitäten sofort der Bank melden.
