Android-Trojaner überlisten Verschlüsselung: Polizei schlägt zeitgleich zu

Während Sicherheitsexperten „unsichtbare” Banking-Trojaner enttarnen, die selbst verschlüsselte Messenger-Apps kompromittieren, zerschlagen Ermittler in Asien zeitgleich die menschliche Infrastruktur dahinter: die Finanzagenten.

Der globale Kampf gegen digitalen Bankbetrug erreichte diese Woche einen neuen Höhepunkt. Strafverfolgungsbehörden in Thailand und Indien führten zwischen dem 24. und 26. November Großrazzien gegen Geldwäsche-Netzwerke durch – zeitgleich mit alarmierenden Enthüllungen über eine neue Generation von Android-Schadsoftware, die sämtliche Standardschutzmaßnahmen umgeht.

Die Entwicklungen verdeutlichen einen Zweifrontenkrieg: Während Cybersecurity-Forscher gegen getarnte Trojaner wie „Sturnus” und „RadzaRat” ankämpfen, nehmen Polizeikräfte zunehmend die Finanzagenten ins Visier – jene Personen, die ihre Bankkonten vermieten, um gestohlene Gelder aus dem Finanzsystem zu schleusen.

Android-Banking-Trojaner wie Sturnus und RadzaRat umgehen Standardschutz und können nach Aktivierung der Barrierefreiheitsdienste sogar WhatsApp-, Telegram- oder Signal-Inhalte auslesen. Wenn Sie Ihr Smartphone für Banking, PayPal oder Messenger nutzen, sind einfache Einstellungen oft entscheidend. Der kostenlose Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” zeigt Schritt für Schritt, welche Berechtigungen Sie prüfen, welche Apps Sie löschen sollten und wie Sie Zwei-Faktor-Methoden besser absichern. Jetzt kostenloses Android-Sicherheitspaket herunterladen

In einer massiven koordinierten Aktion zur Zerschlagung der finanziellen Infrastruktur von Betrügern haben thailändische und indische Behörden innerhalb von 72 Stunden Hunderte Verdächtige festgenommen.

Am Montag, 24. November, verkündete Thailands Cyber Crime Investigation Bureau (CCIB) die Ergebnisse der „Operation Anti-Online Scam”. Die Aktion richtete sich gegen Anwerber und Betreiber sogenannter „Pferde-Konten” – die lokale Bezeichnung für Finanzagenten-Konten, die von Call-Center-Banden und Investment-Betrügern zur Geldwäsche genutzt werden.

Die thailändischen Behörden meldeten die Festnahme von rund 327 Verdächtigen und die Identifizierung von 55 separaten Anwerber-Zellen im gesamten Land. Diese Netzwerke waren dafür verantwortlich, Bankkonten von Einheimischen zu beschaffen – oft für geringe Gebühren – die dann zur Verschleierung von Milliarden Baht an betrügerischen Geldern verwendet wurden.

Einen Tag später, am Dienstag, 25. November, zerschlug die Cybercrimepolizei in Hyderabad, Indien, einen hochprofessionellen Ring. Beamte nahmen eine achtköpfige Bande fest, die 127 Finanzagenten-Konten eröffnet und an Cyberkriminelle geliefert hatte. Laut Berichten der Telangana Today wickelte diese einzelne Zelle Transaktionen im Wert von über 24 Crore Rupien (etwa 2,7 Millionen Euro) ab. Die Ermittlungen ergaben, dass die Bande, angeführt von einem örtlichen Taxifahrer, „Kontopakete” – bestehend aus Sparbüchern, Bankkarten und SIM-Karten – per Kurier an Einsatzzentralen in anderen Bundesstaaten verschickte.

Am Mittwoch, 26. November, meldete der Bezirk Durg in Chhattisgarh die Festnahme von 16 weiteren Personen im Zusammenhang mit sogenannten „Digital Arrest”-Betrugsmaschen, bei denen Opfer unter dem Vorwand gefälschter Ermittlungen zur Überweisung von Geldern auf Finanzagenten-Konten gezwungen werden.

Die unsichtbare Bedrohung: Sturnus und RadzaRat umgehen alle Schutzmaßnahmen

Während Polizeikräfte die Geldwäsche-Infrastruktur zerschlagen, haben sich die technischen Methoden zum Diebstahl von Zugangsdaten weiterentwickelt und umgehen nun traditionelle Sicherheitsmaßnahmen. Zwei bedeutende Malware-Entdeckungen Ende letzter Woche demonstrieren die eskalierende Raffinesse dieser Bedrohungen.

Am 20. November veröffentlichte die Threat-Intelligence-Firma ThreatFabric eine detaillierte Analyse von „Sturnus”, einem neu identifizierten Android-Banking-Trojaner. Anders als frühere Banking-Malware, die sich auf Overlay-Angriffe (gefälschte Login-Bildschirme) verließ, zeigt Sturnus fortgeschrittene Fähigkeiten zur Kompromittierung Ende-zu-Ende-verschlüsselter Messenger-Apps.

Durch Missbrauch der Barrierefreiheitsdienste von Android kann Sturnus den Bildschirminhalt von Apps wie WhatsApp, Telegram und Signal nach der Entschlüsselung auslesen. Dies ermöglicht Angreifern das Abfangen von Zwei-Faktor-Authentifizierungscodes (2FA) und die Echtzeit-Überwachung der Opferkommunikation – was die Verschlüsselung für kompromittierte Geräte faktisch wertlos macht.

Die Bedrohung verschärft sich weiter: Certo Software veröffentlichte am 21. November einen Bericht über „RadzaRat”, eine weitere aufstrebende Android-Malware-Variante. Der alarmierendste Aspekt von RadzaRat war die Erkennungsrate: Zum Zeitpunkt der Analyse erzielte die Malware eine Quote von 0/66 auf VirusTotal – kein einziges großes Antiviren-Programm erkannte sie als schädlich.

RadzaRat versteckte sich in voll funktionsfähigen Fotobearbeitungs- und PDF-Utility-Apps. Nach der Installation fordert sie umfangreiche Berechtigungen unter dem Deckmantel legitimer Funktionalität an und gewährt Angreifern letztlich Fernzugriff auf das Gerät. Die Fähigkeit der Malware, für Sicherheitsscanner „unsichtbar” zu bleiben, deutet darauf hin, dass Angreifer massiv in Code-Verschleierung investieren, um die Lebensdauer ihrer Kampagnen zu verlängern, bevor Sicherheitsanbieter Signaturen aktualisieren können.

Deutschland im Visier: Ein 267-Milliarden-Euro-Schlachtfeld

Die Konvergenz dieser Bedrohungen – getarnte Malware und rekrutierte Finanzagenten – stellt ein erhebliches Risiko für den europäischen Finanzsektor dar, besonders im DACH-Raum.

Ein Bericht von BioCatch mit dem Titel „2025 Digital Banking Fraud Trends in Germany” verdeutlicht das Ausmaß der Herausforderung. Deutschland sei zu einem Hauptziel geworden und Ursprung von etwa 14 Prozent der weltweiten Phishing-E-Mails. Unter Berufung auf breitere Branchendaten verweist der Bericht auf die enorme wirtschaftliche Auswirkung: Die Verluste durch Cyberkriminalität in Deutschland wurden 2024 auf 267 Milliarden Euro geschätzt.

Das Finanzagenten-Problem ist in Deutschland besonders akut, wo strenge Bankvorschriften „saubere” Konten für Kriminelle hochwertvoll machen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihre Durchsetzungsstrategie 2025 intensiviert und konzentriert sich auf die Kontrollen zur Bekämpfung von Geldwäsche (AML) bei Finanzinstituten.

Im November bekräftigte die BaFin erneut die Notwendigkeit für Banken, ihre Transaktionsüberwachungssysteme zu schärfen, um Verhaltensmuster von Finanzagenten-Konten zu erkennen – etwa ruhende Konten, die plötzlich hohe Summen erhalten und sofort weiterüberweisen. Die jüngste Durchsetzungsmaßnahme gegen J.P. Morgan SE Anfang des Monats, die wegen verzögerter AML-Kontrollen zu einer Geldstrafe führte, unterstreicht die Nulltoleranz-Haltung der Aufsichtsbehörde gegenüber Compliance-Lücken, die von diesen Geldwäsche-Netzwerken ausgenutzt werden könnten.

Die Lieferkette des Verbrechens

Die Ereignisse Ende November 2025 zeigen eine Verschiebung in der operativen Dynamik der Finanzkriminalität.

Kriminelle Syndikate behandeln ihre Operationen zunehmend als Lieferkette. Die vorgelagerte Komponente umfasst hochkomplexe Entwicklung (Malware wie Sturnus) zum Ernten von Zugangsdaten. Die nachgelagerte Komponente beinhaltet ein logistisches Netzwerk menschlicher Finanzagenten zur Bargeldauszahlung. Die synchronisierten Festnahmen in Asien deuten darauf hin, dass Strafverfolgungsbehörden der Störung der nachgelagerten „Auszahlungsphase” Vorrang einräumen – oft der physische Engpass digitaler Kriminalität.

Der Missbrauch der Barrierefreiheitsdienste bleibt eine Schlüsselschwachstelle. Beide Malware-Varianten missbrauchen massiv Androids Accessibility Services. Diese Funktion, entwickelt zur Unterstützung von Menschen mit Behinderungen, gewährt Apps die Fähigkeit, Bildschirmtext zu lesen und Klicks auszuführen. Trotz Googles fortlaufender Bemühungen, den Zugang zu diesen APIs einzuschränken, finden Malware-Entwickler weiterhin Umgehungswege durch Social Engineering, um Opfer zur manuellen Aktivierung dieser Berechtigungen zu verleiten.

Die niedrigen Kosten für die Rekrutierung von Finanzagenten – oft verzweifelte Personen, angelockt durch „leichtes Geld”-Jobanzeigen in sozialen Medien – bleiben eine kritische Schwachstelle. Wie der Fall in Hyderabad zeigt, zielen Anwerber häufig auf einkommensschwache Bevölkerungsgruppen ab und schaffen eine austauschbare Belegschaft, die die eigentlichen Drahtzieher vor Verhaftung schützt.

Was jetzt kommt

Für die verbleibenden Wochen von 2025 und Anfang 2026 können Finanzinstitute eine Verschärfung der „Know Your Customer”-Protokolle (KYC) erwarten. Banken werden wahrscheinlich die Einführung von Verhaltensbiometrie beschleunigen – Technologie, die zwischen legitimen Nutzern und Fernzugriffs-Angreifern oder Finanzagenten unterscheiden kann, um betrügerische Überweisungen zu stoppen, bevor sie erfolgen.

Die Erkennungsrate von 0/66 bei RadzaRat dient als deutliche Warnung: Signaturbasierte Antivirenlösungen reichen nicht mehr aus. Sicherheitsmodelle müssen zunehmend auf heuristische Analysen setzen – die beobachten, was eine App tut, statt wie sie aussieht – um die nächste Generation von Banking-Trojanern abzufangen.

Für Verbraucher bleibt der Rat konsistent, aber dringend: Minimieren Sie die Anzahl installierter Apps, gewähren Sie niemals Barrierefreiheitsberechtigungen an Utility-Apps wie PDF-Reader oder Fotobearbeiter, und seien Sie skeptisch gegenüber „Arbeit-von-zu-Hause”-Angeboten, die das Verarbeiten von Zahlungen über persönliche Bankkonten beinhalten.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer — Tipp 3 schließt eine Lücke, die Banking-Trojaner ausnutzen, und ist in weniger als drei Minuten umgesetzt. Der kostenlose Leitfaden enthält Checklisten für bewährte Einstellungen, Hinweise zum sicheren Umgang mit Accessibility-Rechten und eine kompakte To‑Do-Liste, mit der Sie Ihr Gerät sofort härten können. Jetzt gratis Android-Schutzpaket anfordern