Banking-Trojaner 2025: Drei neue Regeln für Ihr Smartphone

Sicherheitsexperten warnen vor einer neuen Welle hochkomplexer Banking-Trojaner. Während die Umsätze im Online-Handel nach Weihnachten noch auf Hochtouren laufen, müssen Nutzer ihre Sicherheitsroutinen drastisch anpassen. Das Jahr 2025 markiert einen Wendepunkt: Die Ära der simplen Phishing-SMS ist vorbei.

Aktuelle Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigen eine aggressivere Bedrohungslage. Besonders die Verbreitung sogenannter “On-Device Fraud”-Malware zwingt zum Umdenken. Wer sein Smartphone als Bankfiliale nutzt, sollte drei neue goldene Regeln beachten.

Regel 1: Keine Toleranz bei App-Quellen

Die größte Bedrohung trägt pelzige Namen: ToxicPanda und Albiriox. Diese hochentwickelten Android-Trojaner haben laut Analysen Tausende Geräte in Europa infiziert. Sie tarnen sich als harmlose Anwendungen – oft als PDF-Reader oder Dating-Apps.

Der Hauptinfektionsweg ist fast immer das “Sideloading”, also das Installieren von Apps außerhalb der offiziellen Stores. Seit der Digital Markets Act (DMA) der EU die Öffnung der Betriebssysteme erzwang, nutzen Kriminelle die Verwirrung der Nutzer aus. Einmal installiert, können solche Trojaner Transaktionen im Hintergrund ausführen, ohne dass der Nutzer es bemerkt.

Viele Unternehmen und Privatnutzer unterschätzen die neue Generation von Banking-Bedrohungen — aktuelle Reports zeigen, dass 73% der deutschen Organisationen Cyberangriffe nicht ausreichend vorbeugen. Ein kostenloser Cyber-Security-Leitfaden erklärt praxisnah, welche Sofortmaßnahmen helfen: Mitarbeiter-Sensibilisierung, sichere App-Quellen, QR-Prüfungen und Notfallpläne für Kontoübernahmen. Ideal für alle, die Smartphone-Banking jetzt sofort besser absichern wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Die eiserne Regel lautet daher: Laden Sie Banking-Apps ausschließlich über die offiziellen Stores oder direkt über verifizierte Links Ihrer Bank herunter. Ignorieren Sie Pop-ups für “dringende Sicherheitsupdates”.

Regel 2: Das “Schwarze Quadrat” misstrauen

Betrüger setzen 2025 massiv auf Quishing – QR-Code-Phishing. Sparkassen und andere Institute warnen vor Briefen oder E-Mails mit QR-Codes zur angeblichen “Kontoreaktivierung”. Das Problem: Sicherheitssoftware kann den Inhalt oft nicht prüfen, bevor der Nutzer ihn scannt.

Verbraucherschützer raten zu einem “Zero Trust”-Ansatz. Scannen Sie niemals einen Code aus einer unaufgeforderten Nachricht, die mit einer Kontosperrung droht. Nutzen Sie die Vorschau-Funktion Ihres Scanners. Beginnt die URL nicht exakt mit der Domain Ihrer Bank, brechen Sie ab. Der Weg über die offizielle App ist immer sicherer.

Regel 3: Biometrie schlägt SMS-TAN

Das Jahr 2025 zeigt: Die SMS-TAN (mTAN) hat ausgedient. Trojaner wie ToxicPanda sind darauf programmiert, SMS-Nachrichten abzufangen, bevor der Nutzer sie sieht.

Experten empfehlen, wo immer möglich auf Passkeys oder App-basierte Freigabeverfahren umzusteigen. Diese sind fest an die Hardware und Biometrie des Geräts gekoppelt und resistenter gegen Fernangriffe.

Zusätzlich helfen praktische Einstellungen:
* Nutzung von “Geofencing” in Banking-Apps
* Setzen niedriger täglicher Überweisungslimits, die nur bei Bedarf erhöht werden
So lässt sich der Schaden selbst bei einer Kontoübernahme begrenzen.

Das Wettrüsten der Algorithmen

Die Bedrohung hat sich von manuellen Betrügereien zu automatisierten Angriffen verschoben. Während Banken KI zur Erkennung von Anomalien einsetzen, rüsten auch die Angreifer auf.

Sicherheitsberichte deuten darauf hin, dass Kriminelle KI für “Deepfake Vishing” nutzen. Eine künstliche Stimme, die wie ein Bankmitarbeiter klingt, ruft Kunden an, um die Freigabe einer Transaktion zu erschleichen. Die psychologische Manipulation ist hier oft gefährlicher als die technische Schwachstelle.

Der Bankenverband fordert daher nicht nur technische Aufrüstung, sondern eine stärkere Sensibilisierung. Die Verantwortung verlagert sich zunehmend auf den “Faktor Mensch” als letzte Verteidigungslinie.

Was 2026 bringen könnte

Für das kommende Jahr erwarten Experten eine Zunahme von Angriffen auf weniger streng regulierte Krypto-Wallets. Zudem könnte die Einführung von “Behavioral Biometrics” (Verhaltensbiometrie) kommen. Banken-Apps könnten dann erkennen, ob das Handy wirklich vom Eigentümer bedient wird – basierend darauf, wie das Gerät gehalten oder getippt wird.

Bis diese Technologien Standard sind, bleibt die Wachsamkeit des Nutzers der wichtigste Schutzwall. Die drei Regeln gelten weiter: App-Quellen prüfen, QR-Codes misstrauen und SMS-TANs abschalten.

PS: Deepfake-Vishing, On-Device-Fraud und unsichere Sideload-Quellen sind 2025 die größten Risiken — Sie müssen nicht tatenlos zusehen. Der gratis Cyber-Security-Guide liefert eine klare Schritt-für-Schritt-Checkliste, wie Sie Smartphone-Banking absichern, SMS-TAN-Risiken minimieren und Passkeys sowie Geofencing praktisch einrichten. Nützliche Maßnahmen für Privatpersonen und kleine Unternehmen, sofort umsetzbar. Gratis Cyber-Security-Leitfaden jetzt herunterladen