Android-Nutzer im Visier: Neue Banking-Trojaner und Zero-Click-Spyware

Android-Nutzer werden von hochentwickelten Banking-Trojanern und gezielter Spyware bedroht. Sicherheitsforscher haben in den vergangenen Wochen mehrere gefährliche Schadsoftware-Familien aufgedeckt, die es auf Finanzdaten und die vollständige Gerätekontrolle abgesehen haben. Besonders besorgniserregend: Zero-Click-Exploits ermöglichen Infektionen ohne jede Nutzerinteraktion.

Die jüngsten Analysen von Cybersecurity-Firmen wie Unit 42 und CYFIRMA zeichnen ein alarmierendes Bild. Die Bedrohungslandschaft wird durch kommerziell vertriebene Spyware und raffiniert getarnte Trojaner zunehmend professionalisiert. Die Verbreitung über populäre Messenger-Dienste macht die Angriffe besonders tückisch.

Unit 42 von Palo Alto Networks enthüllte am 7. November Details zur kommerziellen Spyware “LANDFALL”. Die Schadsoftware nutzte eine Zero-Day-Lücke (CVE-2025-21042) in der Bildverarbeitungsbibliothek von Samsung-Geräten. Die Angreifer verteilten LANDFALL über manipulierte DNG-Bilddateien via WhatsApp.

Der Clou: Durch den Zero-Click-Angriffsvektor installierte sich die Spyware ohne Zutun des Nutzers. Samsung schloss die Schwachstelle zwar bereits im April, doch die Kampagne lief seit mindestens Juli 2024. Ein klassisches Problem – Sicherheitslücken werden ausgenutzt, bevor Patches flächendeckend installiert sind.

Wer sich vor Zero-Click-Exploits und Banking-Trojanern schützen will, sollte die fünf grundlegenden Maßnahmen für Android kennen. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie WhatsApp, Banking-Apps und Berechtigungen richtig absichern und automatische Updates einrichten. Gratis-Ratgeber: Die 5 wichtigsten Schutzmaßnahmen für Android herunterladen

LANDFALL ermöglichte den Angreifern weitreichenden Zugriff:

• Aufzeichnung von Mikrofon-Audio
• Sammlung von Standortdaten und Fotos
• Zugriff auf Kontakte und Anrufprotokolle

Die Infrastruktur-Analyse deutet auf professionelle Akteure hin, die Spyware als Dienstleistung für staatliche Kunden entwickeln.

Banking-Trojaner tarnen sich als Regierungs-Apps

Während LANDFALL auf gezielte Überwachung setzt, greifen neue Banking-Trojaner zur Massenabschöpfung. CYFIRMA analysierte Ende Oktober den Trojaner “BankBot-YNRK”, der sich als offizielle Regierungs- oder Nachrichten-App tarnt. Eine Variante imitierte eine indonesische App für digitale Identitätsnachweise.

BankBot-YNRK zielt auf 62 verschiedene Finanz- und Kryptowährungs-Apps. Der Trojaner missbraucht Android-Bedienungshilfen, um sich Berechtigungen zu erschleichen und Bildschirminhalte aufzuzeichnen. Gefälschte Login-Seiten werden über legitime Apps gelegt – Nutzer geben ihre Zugangsdaten direkt an die Angreifer weiter.

Besonders perfide: Die Schadsoftware erkennt virtuelle Umgebungen und umgeht so Sicherheitsanalysen. Betroffen sind hauptsächlich Geräte mit Android 13 oder älter. Der Trojaner “Herodotus” geht noch einen Schritt weiter und imitiert menschliches Verhalten, um automatisierte Schutzsysteme zu täuschen.

Malware-Baukästen senken Einstiegshürde

Ein beunruhigender Trend beschleunigt die Entwicklung: “Malware-as-a-Service” (MaaS). Kriminelle bieten fertige Schadsoftware-Pakete im Abonnement an, oft über Telegram-Kanäle. “DeliveryRAT” richtet sich beispielsweise gegen russische Nutzer und tarnt sich als App für Lieferdienste.

Über einen Telegram-Bot erwerben selbst technisch unversierte Kriminelle fertige APK-Dateien oder Phishing-Seiten. Dieses Geschäftsmodell demokratisiert die Cyberkriminalität und führt zu einer rasanten Verbreitung von Schadsoftware. Die Industrialisierung des Cybercrime-Ökosystems nimmt Fahrt auf.

Google schließt kritische Lücken

Google reagiert mit monatlichen Sicherheitsupdates. Das Android Security Bulletin für November schließt mehrere kritische Schwachstellen. Eine davon (CVE-2025-48593) ermöglicht Code-Ausführung aus der Ferne ohne Nutzerinteraktion – eine der gefährlichsten Angriffsvektoren überhaupt.

Der ständige Wettlauf zwischen Angreifern und Verteidigern zeigt: Nutzer müssen ihre Geräte konsequent auf dem neuesten Stand halten. Doch wie viele installieren Updates wirklich zeitnah?

Was Nutzer jetzt tun sollten

Die aktuelle Bedrohungslage erfordert erhöhte Wachsamkeit. Angreifer werden ihre Methoden weiter verfeinern – KI-generierte Phishing-Nachrichten werden überzeugender, Schwachstellen in weit verbreiteten Bibliotheken werden systematisch ausgenutzt.

Grundlegende Schutzmaßnahmen:

• Apps nur aus dem offiziellen Google Play Store laden
• Berechtigungen von Anwendungen kritisch prüfen
• Sicherheitsupdates sofort installieren
• Installation aus unbekannten Quellen deaktivieren
• Skepsis gegenüber unerwarteten Links und Nachrichten

Besonders die Verbreitung über WhatsApp und Telegram bleibt ein kritischer Infektionsweg. Nutzer vertrauen Links von bekannten Kontakten eher – genau darauf setzen die Angreifer. In der aktuellen Bedrohungslage ist gesunde Skepsis die beste Verteidigung.

PS: Diese Angriffe zeigen, wie schnell Schadsoftware in alltägliche Apps eindringen kann. Fordern Sie das kostenlose Sicherheitspaket an und lernen Sie die 5 Maßnahmen, die Ihr Smartphone deutlich sicherer machen – ohne teure Zusatz-Apps. Jetzt kostenloses Android-Sicherheitspaket anfordern