Android-Bedrohungen: Neue Malware-Welle erschüttert mobile Sicherheit

Cyberkriminelle attackieren Android-Nutzer diese Woche mit ausgeklügelten Methoden. Ein wiedererstandener Banking-Trojaner und eine neuartige Schwachstelle, die Daten direkt vom Bildschirm abgreifen kann, alarmieren Sicherheitsexperten weltweit.

Gleich mehrere hochentwickelte Android-Bedrohungen haben diese Woche die IT-Sicherheitsbranche in Aufruhr versetzt. Während Forscher vor der Rückkehr des gefährlichen “GhostBat” Remote Access Trojaners warnen, der indische Banking-Nutzer ins Visier nimmt, erschüttert eine separate Entdeckung die mobile Sicherheit: Die “Pixnapping”-Schwachstelle kann sensible Bildschirm-Inhalte wie 2FA-Codes und Krypto-Schlüssel ohne besondere Berechtigungen stehlen.

Diese Entwicklungen verdeutlichen die rasant wachsende Raffinesse mobiler Cyberbedrohungen – von Social Engineering bis hin zur Ausnutzung grundlegender Hardware-Funktionen.

GhostBat-Trojaner kehrt zurück und jagt indische Bank-Kunden

Der GhostBat Android-Trojaner erlebt derzeit eine beunruhigende Renaissance und zielt gezielt auf Nutzer in Indien ab. Wie das Cyble Research and Intelligence Lab am 14. Oktober berichtete, tarnt sich die Malware als offizielle Regional Transport Office (RTO)-Anwendung.

Die Verbreitung erfolgt hauptsächlich über WhatsApp-Nachrichten und SMS mit verkürzten URLs. Diese Links führen Opfer zu bösartigen APK-Dateien, die auf Plattformen wie GitHub gehostet werden. Die Nutzer glauben, die legitime ‘mParivahan’-App herunterzuladen.

Perfide Strategie: Nach der Installation setzt die Malware Phishing-Seiten ein, um sensible Banking-Anmeldedaten und UPI-PINs zu stehlen. Sie missbraucht SMS-Berechtigungen, um alle Textnachrichten vom Gerät zu entwenden – dabei filtert sie gezielt nach banking-relevanten Schlagwörtern für die Übertragung an Command-and-Control-Server.

Seit September 2025 identifizierten Forscher bereits über 40 verschiedene Proben dieser Malware. Besonders besorgniserregend: Der Einsatz fortschrittlicher Verschleierungstechniken wie mehrstufige Dropper und String-Obfuskation, um Antivirus-Erkennung zu umgehen.

“Pixnapping”: Gefährliche Schwachstelle klaut Daten vom Bildschirm

Eine noch alarmierendere Bedrohung enthüllten Cybersicherheitsforscher der Carnegie Mellon University: Die “Pixnapping”-Schwachstelle (CVE-2025-48561) betrifft verschiedene Android-Geräte, darunter Googles Pixel- und Samsungs Galaxy-Modelle.

So funktioniert der Angriff: Eine bösartige App kann sensible Bildschirm-Daten wie Google Authenticator 2FA-Codes und Kryptowährungs-Wallet-Seed-Phrasen abfangen – völlig ohne spezielle Nutzer-Berechtigungen.

Der Exploit nutzt eine GPU-Side-Channel-Technik, um Inhalte anderer Anwendungen zu rekonstruieren. Eine Malware-App kann heimlich eine Ziel-App (etwa eine Krypto-Wallet) aufrufen und dann Pixel aus dem gerenderten Bild stehlen, um sensible Informationen zusammenzusetzen.

Betroffene Geräte: Google Pixel 6 bis 9 und Samsung Galaxy S25 mit Android-Versionen 13 bis 16. Google erhielt bereits im Februar 2025 Kenntnis von der Schwachstelle und veröffentlichte einen Teil-Patch im September-Sicherheitsupdate. Eine vollständige Lösung soll im Dezember 2025 folgen.
Anzeige: Apropos Android-Sicherheit: Die aktuellen Funde zeigen, wie wichtig ein kurzer Sicherheitscheck ist. Viele Nutzer übersehen 5 einfache Maßnahmen, die WhatsApp, Online-Banking und Passwörter deutlich besser schützen – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber führt Schritt für Schritt durch die wichtigsten Einstellungen, App-Prüfungen und Update-Routinen – inklusive Checklisten für den Alltag. Jetzt das kostenlose Android-Sicherheitspaket sichern

ClayRat-Spyware tarnt sich als beliebte Apps

Zusätzlich zur aktuellen Bedrohungswelle identifizierte Zimperium Anfang Oktober die schnell evolvierende “ClayRat”-Spyware-Kampagne, die Nutzer in Russland attackiert.

Die Malware verbreitet sich über Phishing-Websites und Telegram-Kanäle, wobei sie sich als populäre Anwendungen wie WhatsApp, TikTok, Google Photos und YouTube ausgibt. Besonders perfide: Die Kampagne liefert Schritt-für-Schritt-Anleitungen zur Umgehung von Androids integrierten Sicherheitswarnungen.

Überwachungs-Arsenal: ClayRat besitzt umfassende Spionage-Fähigkeiten, einschließlich der Exfiltration von SMS-Nachrichten, Anruflisten und Benachrichtigungen. Eine besonders gefährliche Funktion ist der Missbrauch der Standard-SMS-Handler-Rolle, wodurch die Malware auf sensible Daten zugreifen kann, ohne Standard-Laufzeit-Berechtigungsabfragen auszulösen.

Viral-Effekt: Die Malware verbreitet sich aggressiv, indem sie automatisch bösartige Links an jeden Kontakt im Telefonbuch des Opfers sendet – jedes infizierte Gerät wird zum Verteilungszentrum.

Mehrstufiger Angriff auf mobile Nutzer

Die zeitnahe Entstehung von GhostBat, Pixnapping und ClayRat verdeutlicht die vielfältigen Strategien der Cyberkriminellen. Während GhostBat und ClayRat stark auf Social Engineering setzen, repräsentiert Pixnapping einen tieferen, technischeren Exploit, der traditionelle App-Berechtigungen und Nutzer-Wachsamkeit umgeht.

Der gemeinsame Nenner? Der Fokus auf hochwertige Daten – seien es direkte Finanz-Anmeldedaten, private Kommunikation oder Schlüssel zu digitalen Assets wie Kryptowährungen. Die Nutzung vertrauenswürdiger Kommunikationsplattformen wie Telegram und WhatsApp zur Verbreitung zeigt, wie Angreifer etablierte Kanäle zur effektiven Malware-Distribution nutzen.

Schutzmaßnahmen für Android-Nutzer

Sicherheitsexperten empfehlen folgende Schutzmaßnahmen:

• Apps nur aus offiziellen Quellen: Ausschließlich aus dem Google Play Store herunterladen
• Verdächtige Links meiden: Unaufgeforderte Links in SMS oder Messaging-Diensten kritisch prüfen
• App-Berechtigungen kontrollieren: Genau prüfen, welche Zugriffe eine App anfordert
• System aktuell halten: Betriebssystem- und Sicherheitsupdates sofort installieren
• Integrierte Sicherheit nutzen: Google Play Protect aktiviert lassen

Die Pixnapping-Schwachstelle macht deutlich: Selbst ohne invasive Berechtigungen können grundlegende Hardware- und Software-Schwächen Nutzer erheblichen Risiken aussetzen. Das Dezember-2025-Sicherheitsupdate wird für betroffene Google- und Samsung-Geräte entscheidend sein.