Android: Neue Banking-Trojaner umgehen Verschlüsselung

Europa steht vor einer massiven Welle von Banking-Trojanern. Sicherheitsforscher haben mit “Sturnus” und “ToxicPanda” zwei aggressive Malware-Familien identifiziert, die gezielt Bankdaten und verschlüsselte Chats ins Visier nehmen. Gleichzeitig schließt Google eine kritische “Zero-Click”-Sicherheitslücke. Die Angreifer umgehen mittlerweile sogar Zwei-Faktor-Authentifizierung durch direkte Bildschirmauslesung.

Sturnus: Spionage direkt vom Display

Die alarmierendste Entdeckung trägt den Namen Sturnus. Dieser Banking-Trojaner hebt sich durch eine perfide Methode ab: Statt die Verschlüsselung von WhatsApp, Telegram oder Signal technisch zu knacken, liest die Malware den Bildschirminhalt direkt aus.

Möglich macht das der Missbrauch der Android Accessibility Services. Diese eigentlich für Menschen mit Behinderungen gedachten Bedienungshilfen gewähren Apps tiefgreifende Kontrolle über Display und Eingaben. “Die Malware greift Inhalte direkt vom Gerätebildschirm nach der Entschlüsselung ab”, erklären Forscher von ThreatFabric und MTI Security. Ende-zu-Ende-Verschlüsselung wird damit wirkungslos, sobald die Nachricht auf dem Display erscheint.

Passend zum Thema Android-Sicherheit: Viele Angriffe nutzen genau die Lücken, die hier beschrieben werden – missbrauchte Bedienungshilfen, gefälschte APKs und unkontrolliertes Sideloading. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android mit klaren Schritt-für-Schritt-Anleitungen (Berechtigungs-Check, Play Protect-Scan, sichere Installationspraxis) und zeigt, wie Sie WhatsApp, Banking- und Shopping-Apps sicherer nutzen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Sturnus verbreitet sich über gefälschte APK-Dateien, getarnt als legitime Updates. Einmal installiert, legt die Software täuschend echte Login-Masken über Banking-Apps, simuliert System-Updates und erschleicht sich Admin-Rechte. Eine Deinstallation wird dadurch nahezu unmöglich.

Der Fokus liegt derzeit auf Süd- und Zentraleuropa. Experten warnen: Dies könnte erst die Vorbereitungsphase für eine breitere Kampagne sein.

ToxicPanda manipuliert Transaktionen

Parallel sorgt ToxicPanda für Unruhe. Der Trojaner hat bereits über 1.500 Geräte in Europa und Lateinamerika infiziert. Seine Spezialdisziplin: “On-Device Fraud”.

Analysen von Cleafy zeigen, dass ToxicPanda Transaktionen direkt auf dem infizierten Gerät initiiert. So täuscht die Malware Sicherheitsmechanismen der Banken, die auf Geräte-Fingerprinting basieren. Die Bank erhält vertraute Gerätedaten – und merkt nicht, dass ein Angreifer am Werk ist.

FakeCall: Wenn Betrüger sich als Bank ausgeben

Noch perfider agiert die aktualisierte Version von FakeCall. Diese Malware kapert den Telefon-Dialer des Smartphones komplett.

Versucht ein Opfer, seine Bank anzurufen, leitet die Software den Anruf unbemerkt an Betrüger um. Die Benutzeroberfläche zeigt weiterhin die korrekte Nummer der Bank an. Das Opfer spricht tatsächlich mit einem Kriminellen – ohne es zu merken. Sicherheitsexperten bezeichnen diese Methode als “Vishing” (Voice-Phishing).

Google schließt kritische Zero-Click-Lücke

Google reagiert auf die verschärfte Bedrohungslage. Das November-Sicherheitsupdate 2025 adressiert mehrere Schwachstellen, darunter eine als “kritisch” eingestufte Lücke im System-Komponentenbereich (CVE-2025-48593).

Diese Schwachstelle ermöglichte eine Remote Code Execution ohne jegliche Nutzerinteraktion. Angreifer hätten Schadcode über das Netzwerk ausführen können – ohne dass der Nutzer eine Datei öffnen oder einen Link anklicken muss. Mit dem Patch-Level vom 1. November ist diese Lücke geschlossen.

Zusätzlich erhielt Google Play Protect ein Update. Die Sicherheitssoftware erkennt nun besser Apps, die sensible Berechtigungen missbrauchen. Installationen aus unsicheren Quellen blockiert das System aggressiver, sobald Betrugsmuster erkannt werden.

Google bestätigt: Nutzer mit aktivem Play Protect sind vor den bekannten Versionen von Sturnus und ToxicPanda geschützt. Aber wie lange noch?

Das Ende klassischer Sicherheit?

Die aktuellen Vorfälle markieren einen Wendepunkt. Der Trend geht weg vom reinen Datendiebstahl hin zur kompletten Geräteübernahme.

Die neue Qualität der Bedrohung:

• Missbrauch von Bedienungshilfen: Fast alle Top-Bedrohungen nutzen die Accessibility Services aus
• Perfekte Täuschung: Gefälschte Benutzeroberflächen sind kaum noch von Original-Apps zu unterscheiden
• Logik-Lücken statt Bugs: Angreifer punkten durch Ausnutzung von Systemfunktionen, nicht durch Software-Exploits

Sicherheitsexperten sprechen von einem klassischen “Katz-und-Maus-Spiel” – mit derzeit deutlichem Vorsprung der Angreifer.

Was Nutzer jetzt tun müssen

Für die kommenden Wochen erwarten Experten eine Zunahme der Sturnus-Verbreitung. Die Malware verlässt die Testphase. Mit dem nahenden Weihnachtsgeschäft droht zudem eine Welle gefälschter Shopping- und Paketverfolgungs-Apps.

Sofort-Maßnahmen:

• System-Update prüfen: Einstellungen > Sicherheit & Datenschutz > System & Updates – Patch-Level muss mindestens 1. November 2025 sein
• Play Protect Scan: Manuellen Scan im Google Play Store durchführen
• Kein Sideloading: Apps ausschließlich aus dem Play Store installieren
• Berechtigungen kontrollieren: Apps mit Zugriff auf “Bedienungshilfen” ohne logischen Grund sofort deinstallieren
• Bankhotline prüfen: Bei Anrufen mit der Bank die Nummer manuell wählen, nicht zurückrufen

Die Evolution der Android-Malware zeigt: Verschlüsselung und Zwei-Faktor-Authentifizierung allein reichen nicht mehr aus. Wachsamkeit wird zur wichtigsten Verteidigungslinie.

PS: Sie wollen Ihr Android-Smartphone wirklich sicher machen, bevor Sie Banking-Apps oder Paket-Tracker installieren? Unser Gratis-Ratgeber fasst die fünf wichtigsten Schutzmaßnahmen zusammen, erklärt, welche Berechtigungen Sie sofort prüfen sollten, und liefert eine praktische Checkliste für den Alltag – besonders nützlich vor dem Weihnachtsgeschäft und beim Umstieg auf neue Chat-Apps. Kostenloses Android-Sicherheitspaket jetzt anfordern