Android: Zero-Click-Schwachstelle bedroht Millionen Geräte
Google patcht kritische Android-Schwachstelle, die Geräte ohne Nutzerinteraktion übernehmen kann. Parallel verbreiten sich raffinierte Banking-Trojaner, die Finanzdaten abgreifen und Benachrichtigungen unterdrücken.
Eine kritische Sicherheitslücke im Android-Betriebssystem versetzt Cybersecurity-Experten in Alarmbereitschaft. Die Schwachstelle lässt sich ohne jegliche Nutzerinteraktion ausnutzen – gleichzeitig verbreiten sich hochentwickelte Banking-Trojaner. Sind Hunderte Millionen Geräte in akuter Gefahr?
Google hat am 3. November in seinem November-Sicherheitsbulletin eine besonders brisante Schwachstelle offengelegt: CVE-2025-48593 ermöglicht Angreifern die komplette Übernahme von Android-Geräten, ohne dass der Nutzer auch nur einen Link anklicken muss. Zeitgleich entdeckten Forscher neue, raffinierte Banking-Trojaner, die gezielt Finanzdaten abgreifen. Die Kombination aus systemkritischer Schwachstelle und aktiven Malware-Kampagnen schafft ein beispiellos gefährliches Bedrohungsszenario.
Zero-Click-Exploit: Angriff im Verborgenen
Die gepatchte Sicherheitslücke CVE-2025-48593 betrifft Android-Versionen 13 bis 16 und gilt als sogenannter “Zero-Click”-Exploit. Konkret bedeutet das: Angreifer könnten Schadcode auf dem Gerät ausführen, ohne dass der Besitzer eine App installieren, Berechtigungen erteilen oder überhaupt irgendetwas tun muss. Ein unsichtbarer Angriff, der keine Spuren hinterlässt.
Die Schwachstelle liegt in einer unzureichenden Validierung von Nutzereingaben innerhalb der System-Komponente – dem Fundament des Betriebssystems. Google stuft die Lücke als kritisch ein, weil sie remote ausnutzbar ist und keinerlei zusätzliche Berechtigungen erfordert. Theoretisch könnte ein Angreifer mit spezialisiertem Exploit-Code ein Gerät vollständig kompromittieren.
Anzeige: Apropos Android-Sicherheit – gerade bei Zero-Click-Lücken und neuen Banking-Trojanern ist schnelles Handeln entscheidend. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone, mit leicht verständlichen Schritt-für-Schritt-Anleitungen gegen Sideloading, fragwürdige Berechtigungen und Schadsoftware. Schützen Sie WhatsApp, Online-Banking und Ihre sensiblen Daten jetzt praxisnah und ohne teure Zusatz-Apps. Jetzt kostenloses Android-Sicherheitspaket herunterladen
Die Patches wurden bereits im Android Open Source Project (AOSP) veröffentlicht. Geräte mit dem Sicherheitspatch-Level 2025-11-01 oder neuer sind geschützt. Google informierte seine Partner bereits einen Monat im Voraus, damit diese Updates entwickeln konnten. Zusätzlich wurde eine zweite Schwachstelle behoben: CVE-2025-48581, die auf Android-16-Geräten eine Rechteausweitung ermöglichen könnte.
Neue Bedrohung: Banking-Trojaner im Doppelpack
Wie aufs Stichwort melden Sicherheitsforscher zwei neue Trojaner-Kampagnen. Das Cybersecurity-Unternehmen CYFIRMA analysierte den BankBot-YNRK, der sich in gefälschten Apps versteckt. Die Malware tarnt sich als offizielle digitale Identitäts-App der indonesischen Regierung unter dem Namen “IdentitasKependudukanDigital.apk”.
Die besondere Raffinesse: BankBot-YNRK deaktiviert sämtliche Benachrichtigungen und Audio-Streams auf dem infizierten Gerät. Das Opfer bekommt schlichtweg nichts mit, während die Malware Geräteinformationen sammelt und sensible Daten abgreift. Ein perfektes Beispiel für “Silent Banking Fraud”.
Parallel dazu verbreitet sich der Trojaner DeliveryRAT, der vorrangig russische Android-Nutzer ins Visier nimmt. Die Sicherheitsfirma F6 berichtet, dass sich die Schadsoftware als Essenslieferungs-, Marktplatz- oder Paket-Tracking-Apps tarnt. Besonders besorgniserregend: DeliveryRAT wird als Malware-as-a-Service (MaaS) über einen Telegram-Bot verkauft. Cyberkriminelle können die Schadsoftware quasi im Abo beziehen.
Nach der Installation fordert DeliveryRAT umfassende Berechtigungen zum Lesen von Benachrichtigungen und umgeht Energiespar-Funktionen. So kann der Trojaner SMS-Nachrichten, Anruflisten und andere private Informationen abfangen – darunter auch Einmal-Passwörter für Online-Banking.
Perfekter Sturm für mobile Finanzkriminalität
Die Gleichzeitigkeit von Zero-Click-Schwachstelle und hochentwickelten Trojanern könnte kaum gefährlicher sein. Während BankBot-YNRK und DeliveryRAT derzeit noch auf Social Engineering angewiesen sind – Nutzer müssen die Apps manuell installieren –, könnte eine Lücke wie CVE-2025-48593 den Infektionsprozess vollständig automatisieren.
Stellen wir uns das Worst-Case-Szenario vor: Angreifer kombinieren einen Zero-Click-Exploit mit Banking-Malware. Das Ergebnis wäre eine Infektion ohne jegliche Nutzerinteraktion. Traditionelle Sicherheitsratschläge wie “Klicke nicht auf verdächtige Links” würden bedeutungslos.
Das MaaS-Modell von DeliveryRAT demokratisiert Cyberkriminalität zusätzlich. Selbst technisch weniger versierte Kriminelle können damit potente Angriffe starten. Die in Indonesien und Russland eingesetzten Taktiken lassen sich problemlos für globale Kampagnen adaptieren – geografische Grenzen existieren in der digitalen Unterwelt kaum noch.
Die finanzielle Motivation ist glasklar: Wer ein Gerät kontrolliert, kann Einmal-Passcodes abfangen, Banking-Zugangsdaten mittels Overlay-Attacken stehlen und Konten leerräumen, bevor das Opfer überhaupt etwas bemerkt.
Was Nutzer jetzt tun müssen
Die oberste Priorität: Sofort das November-Sicherheitsupdate installieren. Nutzer sollten unter Einstellungen > Sicherheit > Sicherheitspatch-Level prüfen, ob bereits die Version 2025-11-01 oder neuer installiert ist. Hersteller werden die Updates in den kommenden Tagen und Wochen ausrollen.
Darüber hinaus gilt es, grundlegende Sicherheitsregeln zu beherzigen. Apps ausschließlich aus dem offiziellen Google Play Store installieren – sogenanntes “Sideloading” bleibt der primäre Infektionsweg für Malware. App-Berechtigungen regelmäßig überprüfen und Anwendungen mit exzessiven Zugriffsrechten entfernen.
Die Realität ist ernüchternd: Das ewige Katz-und-Maus-Spiel zwischen Plattform-Entwicklern und Cyberkriminellen geht weiter. Während Google an der Absicherung von Android arbeitet, suchen Bedrohungsakteure unermüdlich nach der nächsten Schwachstelle. Wachsamkeit ist keine Option mehr – sie ist Pflicht für den Schutz des digitalen und finanziellen Lebens.
Anzeige: PS: Wenn Sie Ihr Android-Gerät sofort besser schützen möchten – gerade nach dem aktuellen November-Patch – holen Sie sich den Gratis-Ratgeber mit konkreten Checklisten, Update-Anweisungen und Praxis-Tipps gegen Banking-Malware. Die Anleitung zeigt, welche Einstellungen Einmal-Passcodes und Banking-Apps sicherer machen und welche Schritte Sie sofort umsetzen sollten. Gratis Android-Sicherheitsratgeber anfordern
