Albiriox und FvncBot: Google kämpft gegen 720-Dollar-Trojaner

Banking-Malware wird zum Mietgeschäft. Zwei neue Android-Trojaner greifen über 400 Apps an – während Millionen ihre Weihnachtseinkäufe per Smartphone bezahlen.

Sicherheitsforscher schlagen Alarm: Die neuen Banking-Trojaner Albiriox und FvncBot markieren eine gefährliche Wende im Cybercrime. Anders als klassische Schadsoftware werden sie als professionelle Dienstleistung vermarktet. Kriminelle mieten die Malware für wenige Hundert Dollar – Programmierkenntnisse überflüssig.

Die Bedrohung trifft Deutschland, Österreich und die Schweiz besonders hart. Eine erste Kampagne nutzte eine gefälschte Penny-App als Köder, um österreichische Nutzer zu infizieren. Google reagiert mit KI-gestützten Schutzmaßnahmen und kritischen Sicherheitsupdates.

Albiriox revolutioniert das Geschäftsmodell des Cyberverbrechens. Für rund 720 US-Dollar monatlich erhalten Kriminelle Vollzugriff auf ein Arsenal digitaler Waffen. Die Malware stammt aus der berüchtigten “Hadoken”-Familie und zielt auf über 400 Anwendungen ab – Banking-Apps, Krypto-Wallets, Fintech-Dienste.

Das Perfide: Die Betrüger stehlen nicht nur Passwörter. Sie übernehmen die komplette Kontrolle über das Smartphone des Opfers. Transaktionen werden direkt vom infizierten Gerät durchgeführt – für die Bank sieht alles legitim aus.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – genau das, was Banking‑Trojaner wie Albiriox und FvncBot ausnutzen. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Play Protect, Dezember‑Updates, Bedienungshilfen‑Einstellungen und App‑Quellen richtig prüfen, damit Angreifer keine Chance haben. Inklusive konkreter Checkliste zum sofortigen Umsetzen. Jetzt kostenloses Sicherheitspaket herunterladen

Die Technik dahinter:
– Web-Injects legen täuschend echte Eingabemasken über legitime Banking-Apps
– Overlay-Angriffe fangen Zugangsdaten in Echtzeit ab
– On-Device Fraud ermöglicht Transaktionen im Namen des Opfers

Die Sicherheitsfirma Cleafy identifizierte die Bedrohung Ende November. Der DACH-Raum steht im Fokus der ersten Angriffswellen.

FvncBot: Der unsichtbare Schatten

Parallel entwickelt sich mit FvncBot eine technisch eigenständige Bedrohung. Intel 471 veröffentlichte diese Woche Details zum Trojaner, der sich durch eine gefährliche Eigenschaft auszeichnet: Er umgeht Androids Sicherheitsfunktion FLAG_SECURE.

Was bedeutet das konkret? Normalerweise verhindert Android Screenshots von Banking-Apps. FvncBot nutzt jedoch HVNC-Technik (Hidden Virtual Network Computing). Die Angreifer sehen eine virtuelle Rekonstruktion des Bildschirms und steuern das Gerät fern – völlig unbemerkt vom Nutzer.

Die Malware wurde komplett neu programmiert, keine Anleihen bei geleaktem Code älterer Trojaner. Das macht sie schwerer zu erkennen und komplexer in der Abwehr.

Googles Gegenschlag: KI im Echtzeitschutz

Google kontert mit einem zweigleisigen Ansatz. Am 3. Dezember kündigte der Konzern die Ausweitung seiner Sicherheitsarchitektur an.

In-Call Scam Protection rollt aus

Das vielversprechendste Feature: In-Call Scam Protection. Nach erfolgreichen Tests in Großbritannien kooperiert Google nun mit US-Banken wie JPMorgan Chase. Das System nutzt On-Device-KI, um verdächtige Verhaltensmuster zu erkennen.

Der Fokus liegt auf einem klassischen Betrugszenario: Ein Anrufer gibt sich als Bank-Mitarbeiter aus und fordert den Nutzer auf, während des Telefonats seinen Bildschirm zu teilen oder Zugangsdaten einzugeben. Die KI schlägt sofort Alarm, wenn eine unbekannte Nummer gleichzeitig mit verdächtigen App-Aktivitäten auftritt.

Kritische Sicherheitslücken geschlossen

Das Dezember-Security-Bulletin schließt Schwachstellen, die bereits aktiv ausgenutzt wurden. Besonders brisant: CVE-2025-48633 und CVE-2025-48572 wurden “in the wild” für gezielte Angriffe verwendet.

Google bestätigte zudem die Ausweitung der Live Threat Detection in Play Protect. Nach dem Start auf Pixel-Geräten unterstützen nun auch Samsung, OnePlus und Oppo das Feature. Es analysiert App-Verhalten in Echtzeit und erkennt Stalkerware sowie Banking-Trojaner anhand ihrer Aktivitätsmuster.

Die neue Normalität: Cybercrime für alle

Die aktuelle Entwicklung zeigt einen besorgniserregenden Trend. Malware-as-a-Service (MaaS) senkt die Einstiegshürde dramatisch. Früher benötigten Angreifer technisches Know-how und Infrastruktur. Heute genügt eine Darknet-Zahlung.

On-Device Fraud verschiebt das Schlachtfeld. Während Banken ihre Server-Sicherheit verstärken, umgehen Kriminelle diese Maßnahmen einfach. Sie operieren vom vertrauenswürdigen Endgerät des Kunden aus – mit dessen IP-Adresse, biometrischen Daten und Geräte-ID.

Für Betrugserkennungssysteme wird es zunehmend schwer, legitime von manipulierten Transaktionen zu unterscheiden.

So schützen Sie sich jetzt

Sofortmaßnahmen für Android-Nutzer:

• Dezember-Sicherheitsupdate umgehend installieren
• Apps ausschließlich aus dem Google Play Store laden
• Misstrauen bei Anfragen für Bedienungshilfen-Zugriff – Haupteinfallstor für beide Trojaner
• Keine Apps von unbekannten Quellen installieren, auch wenn sie seriös wirken
• Während Banking-Anrufen niemals Bildschirm teilen oder TAN-Codes durchgeben

Die Bedrohung wird 2026 weiter eskalieren. Experten erwarten KI-gestützte Phishing-Kampagnen und selbstmutierende Malware, die Virenscanner systematisch umgeht. Der beste Schutz bleibt Wachsamkeit – und konsequente Update-Hygiene.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke, die On‑Device‑Fraud verhindert. Der gratis Leitfaden liefert praxisnahe Anleitungen, Checklisten und einfache Einstellungen, mit denen Sie Mobile Banking, TAN‑Sicherheit und App‑Berechtigungen sofort schützen. Holen Sie sich die Schritt‑für‑Schritt‑Anweisungen und prüfen Sie Ihr Telefon heute noch. Kostenloses Android-Sicherheitspaket anfordern