Android-Spyware tarnt sich als Signal und ToTok

Eine neue Generation von Android-Schadsoftware täuscht Nutzer mit gefälschten Versionen beliebter Messenger-Apps. Cybersicherheitsexperten warnen vor raffinierten Betrugsmaschen, die Anwender dazu bringen, Spionage-Software zu installieren.

Sicherheitsforscher von ESET haben zwei bislang unbekannte Spyware-Familien entdeckt: ProSpy und ToSpy. Die Schadsoftware gibt sich als vermeintliche Sicherheits-Updates für Signal und ToTok aus – zwei Apps, die eigentlich für ihre Verschlüsselung bekannt sind.

Besonders perfide: Die Angreifer locken potenzielle Opfer auf täuschend echte Websites, die sogar den Samsung Galaxy Store nachahmen. Dort werden die schadhaften Apps als „Signal Encryption Plugin“ oder „ToTok Pro“ angeboten. Einmal installiert, sammelt die Software heimlich Kontakte, SMS-Nachrichten und Chat-Verläufe.

Anzeige: Apropos gefälschte Messenger-Apps: Viele Android-Nutzer übersehen genau die Einstellungen, die Spyware und Banking-Trojanern den Weg ebnen. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen – ohne teure Zusatz-Apps, Schritt für Schritt erklärt. Ideal für WhatsApp, Online-Banking und Shopping. Jetzt das kostenlose Android-Sicherheitspaket sichern

Die Malware-Entwickler nutzen ausgeklügelte Verschleierungstaktiken. Nach der Installation wandelt sich das Symbol der gefälschten Signal-App und ahmt die Google Play Services nach – ein legitimer Systemdienst, der auf jedem Android-Gerät läuft.

Die falsche ToTok-Version geht noch einen Schritt weiter: Sie startet tatsächlich die echte ToTok-App, um keinen Verdacht zu erregen. ToSpy hat es dabei gezielt auf Chat-Backups abgesehen – ein klares Indiz für gezielte Kommunikationsüberwachung.

Die Wahl von ToTok als Köder ist strategisch durchdacht. Die App wurde 2019 aus den großen App-Stores entfernt, nachdem Vorwürfe laut wurden, sie diene als Überwachungsinstrument. In der Region der Vereinigten Arabischen Emirate nutzen dennoch viele Menschen die Anwendung.

Banking-Trojaner greifen europäische Nutzer an

Parallel zu diesen Spionage-Kampagnen kämpft Android gegen eine Welle sophistizierter Banking-Trojaner. Der neu entdeckte „Klopatra“-Trojaner hat bereits über 3.000 Geräte kompromittiert, vorwiegend in Spanien und Italien.

Die Schadsoftware versteckt sich in gefälschten IPTV-Apps und nutzt ein verstecktes VNC-System (Virtual Network Computing), um Angreifern komplette Fernsteuerung zu ermöglichen. Besonders hinterhältig: Die Kriminellen warten oft, bis das Opfer schläft und das Handy lädt, bevor sie zuschlagen.

Während der Bildschirm schwarz bleibt, nutzen sie gestohlene PINs, um Banking-Apps zu öffnen und betrügerische Überweisungen zu autorisieren. Das italienische Cybersicherheitsunternehmen Cleafy warnt vor der kommerziellen Code-Verschleierung, die eine Erkennung extrem erschwert.

Anzeige: Während Cyberkriminelle mit VNC-Fernzugriff und Code-Verschleierung arbeiten, können Sie Ihr Smartphone in wenigen Minuten deutlich härten. Der Gratis-Ratgeber erklärt praxistauglich, wie Sie Berechtigungen prüfen, Play Protect richtig nutzen und Betrugs-Apps erkennen – inklusive Checklisten. Kostenlosen Ratgeber „5 Schutzmaßnahmen für Android“ herunterladen

Google kämpft gegen Malware-Flut

Die Zahlen verdeutlichen das Ausmaß der Bedrohung: Google blockierte 2023 über 2,28 Millionen regelwidrige Apps im Play Store und sperrte 333.000 Entwickler-Konten. Dennoch bleiben Apps außerhalb des offiziellen Stores eine erhebliche Sicherheitslücke.

Das Problem verschärft sich durch Malware-as-a-Service-Modelle. Cyberkriminelle können heute ausgeklügelte Schadsoftware mieten oder kaufen – eine Art „McDonald’s der Cyberkriminalität“, die auch weniger technisch versierte Betrüger zu gefährlichen Angreifern macht.

Wie Nutzer sich schützen können

Angesichts der wachsenden Bedrohung empfehlen Sicherheitsexperten eine klare Verteidigungsstrategie:

Apps nur aus vertrauenswürdigen Quellen installieren – idealerweise ausschließlich aus dem Google Play Store. Bei der Installation von Apps aus unbekannten Quellen ist höchste Vorsicht geboten.

Berechtigungen kritisch prüfen: Eine einfache Utility-App benötigt keinen Zugriff auf Kontakte, Nachrichten oder Bedienungshilfen. Werden solche Zugriffsrechte gefordert, sollten Nutzer misstrauisch werden.

Google Play Protect sollte aktiviert bleiben – dieser eingebaute Schutz erkennt bekannte Schadsoftware automatisch. Dennoch ist gesunder Menschenverstand die beste Firewall: Verdächtige Links oder unaufgeforderte App-Download-Aufforderungen sollten grundsätzlich ignoriert werden.

Die aktuellen Angriffswellen zeigen deutlich: Selbst die sichersten Betriebssysteme können kompromittiert werden, wenn Nutzer dazu gebracht werden, ihre digitalen Schutzwälle selbst niederzureißen.