Albiriox-Trojaner: Neue Banking-Malware tarnt sich als Penny-App

Android-Nutzer aufgepasst: Eine hochentwickelte Schadsoftware greift gezielt Banking-Apps im deutschsprachigen Raum an. Der perfide Trick? Die Malware tarnt sich als vertraute Supermarkt-App und nutzt legitime Android-Funktionen, um Konten zu plündern.

Das Sicherheitsunternehmen Cleafy schlug am Donnerstag Alarm: “Albiriox” heißt die neue Bedrohung, die über 400 Finanz-Apps weltweit ins Visier nimmt. Besonders perfide ist eine Variante, die sich als App der Discounterkette Penny ausgibt und österreichische sowie deutsche Nutzer in die Falle lockt. Die Masche kommt ausgerechnet zum Start der Weihnachtseinkäufe – kein Zufall, wie Experten betonen.

Über gefälschte SMS landen Nutzer auf täuschend echten Webseiten, die dem Google Play Store zum Verwechseln ähnlich sehen. Dort wartet die vermeintliche Penny-App zum Download. Wer die App installiert, tappt bereits in die Falle.

Passend zum Thema Android-Bedienungshilfen und gefälschten Apps: Viele Nutzer übersehen, wie leicht Sideloading und übermäßige Rechte zum Kontoverlust führen. Unser kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone — inklusive Schritt-für-Schritt-Anleitungen, wie Sie Bedienungshilfen prüfen, Play Protect richtig nutzen und Sideloading verhindern. Schützen Sie WhatsApp, Online-Banking und Ihre Zahlungs-Apps effektiv. Jetzt das kostenlose Android-Sicherheitspaket sichern

Der Trojaner fordert unmittelbar nach der Installation Zugriff auf die Android-Bedienungshilfen. Diese Funktion ist eigentlich für Menschen mit Behinderungen gedacht – doch die Malware missbraucht sie brutal: Sie übernimmt faktisch die Kontrolle über das Smartphone.

Was dann passiert, klingt wie Science-Fiction, ist aber bittere Realität:

• Bildschirminhalte werden in Echtzeit ausgelesen
• Tastatureingaben werden protokolliert
• Banküberweisungen laufen im Hintergrund ab – ohne dass der Nutzer etwas bemerkt

Nicht allein: BankBot und Sturnus ergänzen die Angriffswelle

Albiriox ist nur die Spitze des Eisbergs. US-Medien warnten zeitgleich vor “BankBot YNRK”, einer Variante, die das Telefon kurzerhand stummschaltet. Das Ziel? Warnanrufe der Bank und SMS-TANs sollen unterdrückt werden, während das Konto geleert wird.

Der Trojaner “Sturnus” setzt noch einen drauf: Er späht verschlüsselte Messenger wie WhatsApp und Signal aus, indem er die Nachrichten direkt vom Bildschirm abliest – sobald sie entschlüsselt sind. Ein cleverer Trick, der Verschlüsselung praktisch nutzlos macht.

Der technische Hebel: Barrierefreiheit wird zur Waffe

Das zentrale Einfallstor bleibt für alle Varianten gleich: die Android-Bedienungshilfen. Diese legitime Funktion ermöglicht der Malware drei entscheidende Angriffswege:

Overlay-Attacken: Öffnen Sie Ihre Banking-App, legt die Malware blitzschnell ein gefälschtes Fenster darüber. Login-Daten landen direkt bei den Kriminellen.

Automatisierung: Die Schadsoftware klickt eigenständig auf “Bestätigen”-Buttons und genehmigt Berechtigungen – in Ihrem Namen, versteht sich.

MFA-Umgehung: Einmalpasswörter per SMS? Die Malware liest sie aus und leitet sie weiter, bevor Sie überhaupt reagieren können.

Laut Cleafy zielt Albiriox weltweit auf über 400 Finanzanwendungen ab – von klassischen Banken über Krypto-Wallets bis zu Zahlungsdienstleistern.

Google rüstet auf – aber Vorsicht bleibt Pflicht

Google hat reagiert. Die “Live Threat Detection” in Google Play Protect analysiert seit November Apps in Echtzeit auf verdächtiges Verhalten – auch wenn sie nicht aus dem Play Store stammen. Android 15 und das kommende Android 16 sollen den Zugriff auf Bedienungshilfen für extern installierte Apps drastisch einschränken.

Doch das größte Risiko bleibt bestehen: Sideloading, also die Installation von Apps außerhalb der offiziellen Stores. Genau darauf setzen die Kriminellen.

Professionelle Cyberkriminalität zur Weihnachtszeit

Die zeitliche Häufung kurz vor Black Friday ist kein Zufall. Sicherheitsexperten sind überzeugt: “Die Angreifer wissen genau, dass Nutzer in der Vorweihnachtszeit unvorsichtiger sind.” Der Preis für Albiriox im Darknet liegt laut Cleafy bei 650 bis 720 US-Dollar pro Monat – im Abo-Modell. Malware-as-a-Service nennt sich das Geschäftsmodell, vermutlich betrieben von russischsprachigen Akteuren.

Besonders besorgniserregend: Die Angriffe werden immer lokalisierter. Statt generischer englischsprachiger Köder setzen Kriminelle auf täuschend echte Kopien regionaler Marken. Die Penny-Masche in Österreich und Deutschland ist nur der Anfang.

So schützen Sie sich jetzt

Experten rechnen mit einer Zunahme der Angriffe in den kommenden Wochen. Diese Maßnahmen sind ab sofort Pflicht:

• Keine Apps außerhalb des Play Stores installieren – egal wie verlockend das Angebot
• Berechtigungen kontrollieren: Prüfen Sie unter Einstellungen → Bedienungshilfen, ob unbekannte Dienste aktiv sind
• Play Protect aktivieren: Stellen Sie sicher, dass der Dienst aktuell ist
• Misstrauen Sie SMS-Links: Keine seriöse App wird per SMS zum Download auffordern

Verlangt eine vermeintliche Supermarkt-App plötzlich weitreichende Rechte zur Bildschirmsteuerung? Dann löschen Sie die App sofort. Kein Rabatt der Welt ist es wert, das eigene Bankkonto zu riskieren.

PS: Vor allem Tipp 3 in unserem Gratis-Guide schließt eine Lücke, die gerade Banking-Trojaner wie Albiriox ausnutzen — die Kontrolle über Bedienungshilfen. In dem kostenlosen Paket erfahren Sie, welche Einstellungen Sie sofort überprüfen müssen, wie Sie verdächtige Apps erkennen und Play Protect optimal konfigurieren. Holen Sie sich die praktische Checkliste für sicheres Smartphone-Verhalten noch heute. Jetzt kostenloses Sicherheitspaket anfordern