GhostBat-Malware: Neue Android-Bedrohung greift Bankdaten ab

Eine gefährliche neue Malware-Kampagne namens „GhostBat RAT“ tarnt sich als offizielle indische Regierungs-App und stiehlt Bankdaten von Android-Nutzern. Die Entdeckung dieser Woche zeigt eine besorgniserregende Entwicklung: Cyberkriminelle nutzen das Vertrauen in staatliche Dienste, um hochentwickelte Schadsoftware zu verbreiten.

Die von Cyble Research and Intelligence Labs (CRIL) am 14. Oktober 2025 dokumentierte Attacke imitiert die „mParivahan“-App – einen legitimen Regierungsservice für Fahrzeugdaten. Die Angreifer locken ihre Opfer über Phishing-Websites, WhatsApp und SMS-Nachrichten. Einmal installiert, startet die Malware einen mehrstufigen Angriff auf Bankzugänge, UPI-PINs und persönliche Daten. Zusätzlich schürft sie heimlich Kryptowährungen.

Die perfekte Täuschung: So funktioniert der Angriff

Das Vorgehen ist raffiniert durchdacht. Die Kriminellen versenden verkürzte URLs über WhatsApp und SMS, die zu gefälschten Websites oder GitHub-Seiten führen. Dort wartet eine täuschend echte Kopie der offiziellen App der indischen Straßenverkehrsbehörde.

Nach der Installation präsentiert die Schadsoftware einen falschen „Google Play Update“-Bildschirm. Besonders perfide: Sie fordert Zugriff auf SMS-Nachrichten – angeblich für die App-Funktionalität. Tatsächlich fängt sie damit Einmal-Passwörter der Banken ab. Gleichzeitig blendet sie gefälschte Anmeldeschirme über echte Banking-Apps ein und stiehlt so die Zugangsdaten direkt beim Login-Versuch.

Anzeige: Übrigens: Wer sich vor Phishing-Links, gefälschten App-Overlays und OTP-Abgriffen schützen möchte, findet eine leicht umsetzbare Schritt-für-Schritt-Anleitung. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Android ohne teure Zusatz-Apps absichern – inklusive Checks für WhatsApp, Online-Banking und PayPal. Holen Sie sich den kompakten Ratgeber mit Checklisten und starten Sie in wenigen Minuten. Jetzt das kostenlose Android-Sicherheitspaket sichern

Hochentwickelte Verschleierungstaktiken

Was GhostBat besonders gefährlich macht, ist die technische Raffinesse. Sicherheitsexperten haben seit September 2025 über 40 verschiedene Malware-Varianten identifiziert. Jede nutzt mehrschichtige Verschleierungsmethoden: fortgeschrittene Obfuskation, maßgeschneiderte Packer, Anti-Emulations-Checks gegen virtuelle Analyseumgebungen und manipulierte ZIP-Header.

Die Schadsoftware funktioniert als mehrstufiger Dropper mit verschlüsselten Payloads. Diese werden schrittweise mit XOR- und AES-Algorithmen entschlüsselt – eine Analyse wird dadurch extrem schwierig. GhostBat agiert als vollwertiger Remote Access Trojaner und gibt Angreifern weitreichende Gerätekontrolle. Über einen Telegram-Bot namens „GhostBatRat_bot“ erfolgt die Kommunikation mit den Kommando-Servern.

Neue Schwachstellen verschärfen die Bedrohungslage

Zeitgleich entdeckten Universitätsforscher eine weitere Android-Schwachstelle namens „Pixnapping“ (CVE-2025-48561). Diese Seitenkanalangriffe ermöglichen es schädlichen Apps, Bildschirmdaten zu stehlen – etwa 2FA-Codes aus Google Authenticator, Passwörter oder Krypto-Wallet-Seed-Phrasen. Google arbeitet noch an einer vollständigen Lösung.

Parallel dazu macht die „ClayRat“-Kampagne von sich reden. Diese Spionage-Software tarnt sich als beliebte Apps wie WhatsApp, TikTok oder YouTube und richtet sich gegen russische Nutzer. Verbreitet über Telegram und Phishing-Seiten, stiehlt sie Anrufprotokolle, SMS und Fotos.

Eine neue Ära der Mobilgeräte-Bedrohungen

Die gleichzeitige Zunahme von GhostBat, ClayRat und Schwachstellen wie Pixnapping markiert eine deutliche Entwicklung im Bereich der Cyberkriminalität. Angreifer setzen nicht mehr nur auf simple Fake-Apps, sondern entwickeln komplexe, mehrschichtige Malware-Architekturen für maximale Tarnung und Dauerhaftigkeit.

Besonders effektiv ist die Strategie, vertrauenswürdige Regierungsapps oder populäre Social-Media-Anwendungen zu imitieren. Diese Taktik nutzt das natürliche Vertrauen der Nutzer aus. Die Kombination aus raffinierter Manipulation, potenten RAT-Fähigkeiten und robusten Verschleierungstechniken macht diese neuen Malware-Familien zu einer erheblichen Bedrohung für Verbraucher und Finanzinstitute.

Schutzmaßnahmen für Nutzer

Experten empfehlen ausschließlich den Download von Apps aus dem offiziellen Google Play Store. Das sogenannte Sideloading von unverifizierten Websites oder über Messenger-Links sollte vermieden werden.

Kritisch prüfen sollten Nutzer auch die App-Berechtigungen: Eine Fahrzeug-Info-App benötigt keinen umfassenden SMS-Zugriff. Regelmäßige Updates des Android-Systems und aller installierten Anwendungen schützen vor bekannten Schwachstellen wie CVE-2025-48561. Angesichts der Bedrohungsentwicklung bleibt die Nutzer-Aufmerksamkeit die wichtigste Verteidigungslinie gegen Credential-Stealing-Malware.