Albiriox-Malware: Banking-Trojaner umgeht Zwei-Faktor-Authentifizierung

BERLIN — Cyberkriminelle setzen auf eine neue Generation von Schadsoftware: Der Banking-Trojaner „Albiriox” führt Überweisungen direkt auf dem Smartphone des Opfers aus – und macht damit klassische Sicherheitsmaßnahmen wirkungslos. Gleichzeitig schließt Google zwei bereits aktiv ausgenutzte Sicherheitslücken in Android.

Seit diesem Montag warnen Sicherheitsforscher verstärkt vor sogenannten „On-Device Fraud”-Angriffen (ODF), die besonders in Europa und Asien zunehmen. Parallel dazu hat Google im Dezember-Sicherheitsupdate über 100 Schwachstellen behoben – darunter zwei kritische Zero-Day-Lücken, die Angreifer bereits gezielt ausnutzten.

Die brisanteste Entwicklung betrifft Smartphone-Nutzer unmittelbar: „Albiriox” ist kein gewöhnlicher Banking-Trojaner mehr. Statt lediglich Zugangsdaten abzugreifen, führt die Schadsoftware Überweisungen direkt auf dem infizierten Gerät durch.

Diese als On-Device Fraud (ODF) bezeichnete Technik hebelt Standard-Sicherheitsmaßnahmen wie Einmalpasswörter (OTPs) und Zwei-Faktor-Authentifizierung komplett aus. Warum? Weil der Angriff vom „vertrauenswürdigen” Gerät selbst ausgeht – aus Sicht der Bank ist alles normal.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – und werden so für On-Device-Fraud wie Albiriox anfällig. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie das Dezember-2025-Sicherheitsupdate prüfen, Bedienungshilfen kontrollieren, unsichere App-Quellen meiden und verdächtige Berechtigungen entziehen. Praxistaugliche Checklisten helfen bei der Sofort-Abwehr. Gratis-Android-Schutzpaket jetzt herunterladen

Laut einer Analyse des Betrugsabwehr-Spezialisten Cleafy aus Ende November wird Albiriox inzwischen als „Malware-as-a-Service” im Darknet vermietet – für rund 670 Euro monatlich. Ein Geschäftsmodell, das die Einstiegshürde für Cyberkriminelle dramatisch senkt.

So arbeitet der Trojaner

Die Verbreitung erfolgt über sogenannte „Dropper-Apps” – scheinbar harmlose Anwendungen, die nach der Installation die eigentliche Schadsoftware nachladen. Eine der identifizierten Kampagnen zielte gezielt auf Nutzer in Österreich ab, getarnt als offizielle App der Supermarktkette Penny.

Nach erfolgreicher Installation nutzt Albiriox ein VNC-Modul (Virtual Network Computing), um Angreifern Fernzugriff in Echtzeit zu gewähren. Die Möglichkeiten sind erschreckend:

• Bildschirm einsehen und Banking-Apps bedienen – als wären sie der rechtmäßige Nutzer
• Display abdunkeln, um Aktivitäten zu verschleiern, während das Handy scheinbar „aus” oder im Update-Modus ist
• SMS und Push-Benachrichtigungen abfangen, sodass Betrugswarnungen der Bank nie ankommen

„Entscheidend ist, wie sich Albiriox nach der Infektion verhält”, betonte ein Bericht vom 5. Dezember. „Hacker bringen Nutzer zunächst dazu, die Installation aus unbekannten Quellen zu erlauben” – eine Hintertür, die kaum zu entdecken ist.

Google schließt zwei aktiv ausgenutzte Lücken

Während sich Nutzer gegen Trojaner wie Albiriox wappnen müssen, hat Google am Android-System selbst nachgebessert. Im Android-Sicherheitsbulletin vom Anfang Dezember wurden 107 Schwachstellen gepatcht.

Besonders brisant: Zwei schwerwiegende Lücken wurden bereits von Hackern ausgenutzt, bevor eine Lösung verfügbar war – sogenannte Zero-Days.

Die kritischen Schwachstellen

1. CVE-2025-48572 (Rechteausweitung): Diese Lücke im Android Framework ermöglicht es einem lokalen Angreifer, erhöhte Berechtigungen zu erlangen – ohne zusätzliche Ausführungsrechte.

2. CVE-2025-48633 (Datenleck): Ebenfalls im Framework angesiedelt, erlaubt dieser Fehler den Zugriff auf sensible Daten, die eigentlich durch das Betriebssystem geschützt sein sollten.

SecurityWeek hob am 4. Dezember hervor, dass diese Zero-Day-Schwachstellen bereits in gezielten Angriffen ausgenutzt wurden. Google bestätigte in seinem Advisory: „Die schwerste dieser Lücken ist eine kritische Schwachstelle in der Framework-Komponente, die zu einem Remote-Denial-of-Service führen könnte.”

Zwei Patch-Level wurden veröffentlicht: 2025-12-01 und 2025-12-05. Wer das Update vom 5. Dezember installiert hat, ist gegen alle im Bulletin genannten Bedrohungen geschützt.

Große Hersteller wie Samsung haben bereits mit der Verteilung begonnen. Das Dezember-2025-Security-Maintenance-Release (SMR) von Samsung enthält die Google-Patches sowie 11 Samsung-spezifische Korrekturen.

Indien rudert zurück: Staatliche Sicherheits-App bleibt freiwillig

In einer bemerkenswerten Kehrtwende nahm die indische Regierung Ende letzter Woche eine umstrittene Vorschrift zurück.

Am 3. Dezember verkündete das indische Kommunikationsministerium, es werde Smartphone-Hersteller (darunter Apple, Samsung und Xiaomi) doch nicht verpflichten, die staatliche Sicherheits-App „Sanchar Saathi” vorzuinstallieren. Die Kehrtwende erfolgte nach massivem Widerstand von Datenschützern und Tech-Konzernen, die in der App ein potenzielles Massenüberwachungsinstrument sahen.

CBS News berichtete am 3. Dezember von „zwei Tagen heftiger Kritik durch Oppositionspolitiker und Datenschutzorganisationen”. Obwohl die App eigentlich beim Aufspüren verlorener oder gestohlener Telefone helfen soll, weckte die geplante Pflichtinstallation Befürchtungen bezüglich Datenmissbrauch – zumal Nutzer die Software nicht hätten entfernen können.

Dieser Vorfall verdeutlicht die wachsende Spannung zwischen staatlichen Sicherheitsinitiativen und Verbraucherrechten – eine Debatte, die weltweit mobile Sicherheitsrichtlinien prägt.

Ausblick: Von Adware zu Finanzbetrug

Das Auftauchen von Albiriox folgt einem Jahr aggressiver Malware-Kampagnen. Anfang 2025 infizierte die „Vapor”-Operation über 331 Apps im Google Play Store und erreichte 60 Millionen Downloads, bevor sie zerschlagen wurde. Der schnelle Aufstieg von Albiriox deutet darauf hin, dass Cyberkriminelle von simpler Adware (wie Vapor) zu destruktiveren Finanzbetrugs-Tools übergehen.

Sicherheitsanalysten prognostizieren, dass ODF-Malware 2026 zur dominierenden Bedrohung wird. Da diese Angriffe auf dem Gerät des Opfers selbst stattfinden, laufen traditionelle Erkennungsmethoden wie „Fingerprinting” (mit dem Banken ungewöhnliche Login-Standorte identifizieren) ins Leere.

So schützen Sie sich jetzt

Um sich gegen Albiriox und die neu offengelegten Android-Schwachstellen zu wappnen, empfehlen Experten folgende Sofortmaßnahmen:

1. Sofort updaten: Prüfen Sie in den Geräteeinstellungen, ob das Dezember-2025-Sicherheitsupdate verfügbar ist. Zeigt Ihr „Android-Sicherheitspatch-Level” das Datum 2025-12-05 oder neuer an, sind Sie gegen die aktiven Zero-Days geschützt.

2. App-Quellen verifizieren: Laden Sie keine Apps von Drittanbieter-Websites oder über SMS/WhatsApp-Links herunter. Die Albiriox-Kampagne setzt gezielt darauf, dass Nutzer gefälschte Apps (wie die falsche Penny-Market-App) sideloaden.

3. Bedienungshilfen prüfen: Gehen Sie zu Einstellungen > Bedienungshilfen. Wenn dort Apps aufgeführt sind, die Sie nicht kennen, entziehen Sie diesen sofort die Berechtigung. Malware wie Albiriox benötigt diese Erlaubnis, um Ihren Bildschirm zu steuern.

4. Misstrauen bei „System-Updates” in Apps: Falls eine einzelne App Sie auffordert, ein „Plugin” oder „Add-on” zu installieren, lehnen Sie ab und deinstallieren Sie die App. Legitime Updates erfolgen über den Google Play Store, nicht über App-interne Pop-ups.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – besonders gegen Banking-Trojaner, die Bildschirm- und Push-Funktionen ausnutzen. Der Gratis-Ratgeber liefert eine kompakte To‑Do-Liste (Update-Check, Bedienungshilfen, App-Quellen, Notification-Schutz) und eine verständliche Anleitung, die Sie sofort umsetzen können. Jetzt kostenloses Android-Sicherheitspaket anfordern