Neue Android-Malware nutzt Kleinanzeigen als Köder

Eine neue Welle raffinierter Cyberangriffe betrügt Bankkunden über manipulierte Kleinanzeigen. Die Schadsoftware wird als nützliche App getarnt.

Berlin, 17. Januar 2026 – Cyberkriminelle haben eine gefährliche neue Masche perfektioniert: Sie locken Opfer über vertrauenswürdig wirkende Kleinanzeigen in eine Falle und installieren dann Banking-Trojaner auf deren Smartphones. Sicherheitsforscher und Behörden warnen aktuell vor diesem hybriden Angriffsmodell, der klassischen Betrug mit moderner Malware verbindet. Die Fallzahlen steigen rasant.

Die hybride Falle: Betrug trifft auf Technik

Der aktuelle Bedrohungsreport des Cloud-Sicherheitsanbieters Zscaler zeichnet ein alarmierendes Bild: Die Zahl der Transaktionen mit Android-Malware ist im Vergleich zum Vorjahr um 67 Prozent gestiegen. Der Angriff beginnt nicht per E-Mail, sondern auf Kleinanzeigen-Portalen.

„Die Täter nutzen das Vertrauen der Nutzer in Peer-to-Peer-Marktplätze aus“, erklärt ein Sprecher des Zscaler ThreatLabz-Teams. Das Muster ist immer ähnlich: Attraktive Angebote für Elektronikwaren oder ausverkaufte Event-Tickets locken Interessenten an. Sobald Kontakt aufgenommen wird, verlagert der vermeintliche Verkäufer das Gespräch auf einen verschlüsselten Messenger.

Ihr Android-Handy könnte durch getarnte APK-Downloads gefährdet sein – genau wie die im Bericht genannten Banking‑Trojaner, die über übertriebenen Berechtigungen Zugang erhalten. Ein kostenloser Android‑Einsteiger‑Guide erklärt Schritt für Schritt, wie Sie Ihr Smartphone sicher einrichten, gefährliche Apps erkennen und App‑Quellen prüfen, damit Kontodaten geschützt bleiben. Holen Sie sich den Gratis‑Ratgeber und reduzieren Sie das Infektionsrisiko. Jetzt Android-Sicherheits-Guide herunterladen

Dort überredet er das Opfer, eine spezielle „Paketverfolgungs“- oder „Zahlungs“-App herunterzuladen, um den Kauf abzuschließen. In Wirklichkeit handelt es sich um einen Banking-Trojaner. Die Schadsoftware missbraucht anschließend die Android-Barrierefreiheitsdienste, um gefälschte Login-Masken über legitime Banking-Apps zu legen. Zugangsdaten werden in Echtzeit abgegriffen.

Allein über als „Werkzeuge“ getarnte Apps wurden laut Zscaler bereits über 42 Millionen Mal Schadprogramme verteilt. Das zeigt das enorme Ausmaß dieser Methode.

Polizei geht ungewöhnliche Wege

Wie anfällig Kleinanzeigen-Portale sind, demonstrierte die niederländische Polizei am vergangenen Freitag in einer ungewöhnlichen Aufklärungskampagne. Beamte schalteten selbst gefälschte Anzeigen für ausverkaufte Konzerte.

Nutzer, die diese Tickets kaufen wollten, wurden nicht betrogen, sondern auf eine Warnseite der Polizei weitergeleitet. Diese erklärte detailliert, wie leicht sie hätten Opfer werden können. Die Aktion unterstrich den Kern des Problems: das blinde Vertrauen in nicht verifizierte Verkäufer – ein Mechanismus, den Cyberkriminelle nun systematisch ausnutzen.

Sicherheitsexperten werten dies als strategischen Wandel. Statt nur reaktiv zu ermitteln, gehen Behörden zunehmend zu proaktiver Aufklärung über. Die Leichtigkeit, mit der Nutzer auf die gefälschten Anzeigen hereinfielen, erklärt auch, warum hybride Angriffe so erfolgreich sind: Sie kombinieren den psychologischen Reiz eines Schnäppchens mit einer technischen Schadsoftware.

Sicherheitsbranche rüstet auf

Die IT-Sicherheitsindustrie reagiert auf diese neue Bedrohungslage, die außerhalb des traditionellen Firmenperimeters entsteht. Am Mittwoch kündigte der US-Anbieter Infoblox die Übernahme des Spezialisten Axur an. Das Unternehmen setzt auf KI, um digitale Risiken wie Markenmissbrauch und gefälschte Apps zu bekämpfen.

Diese Akquisition ist Teil eines Branchentrends. Sicherheitsanbieter verstärken ihre Abwehr gegen Bedrohungen, die in sozialen Medien, App-Stores und auf Kleinanzeigenportalen beginnen, bevor sie Unternehmensnetzwerke erreichen oder Kunden betrügen.

Besonders gefährdet sind Finanzinstitute. Wird das Gerät eines Kunden über eine Drittplattform kompromittiert, können die Sicherheitsprotokolle der Bank umgangen werden. Trojaner wie „Mamont“ oder „Anatsa“ liegen oft wochenlang unerkannt im System und werden erst aktiv, wenn der Nutzer seine Banking-App öffnet. Herkömmliche Antivirensoftware erkennt sie kaum.

So läuft der Angriff ab

1. Der Köder: Eine Kleinanzeige bietet ein Produkt zu einem attraktiven, aber plausiblen Preis an.
2. Der Wechsel: Der Verkäufer behauptet, den Standardversand der Plattform nicht nutzen zu können und besteht auf einem „speziellen“ Kurierdienst.
3. Die Schadsoftware: Das Opfer erhält einen Link zum Download einer APK-Datei für den angeblichen Kurierdienst.
4. Die Infektion: Die App fordert übertriebene Berechtigungen an, versteckt nach der Installation ihr Icon und läuft im Hintergrund.
5. Der Diebstahl: Öffnet der Nutzer später seine Banking-App, fängt die Malware die Log-in-Daten ab – inklusive Passwörter und Zwei-Faktor-Authentifizierungscodes.

Laut Zscaler tarnt sich die Schadsoftware am häufigsten als nützliches Tool, etwa als PDF-Reader, QR-Scanner oder Übersetzungs-App.

KI könnte Angriffe massiv ausweiten

Sicherheitsexperten warnen, dass sich diese hybriden Angriffe 2026 weiterentwickeln werden. Der Einsatz KI-gesteuerter Chatbots könnte die erste Phase der Manipulation automatisieren. Betrüger könnten so tausende Opfer gleichzeitig und in mehreren Sprachen ansprechen.

Zudem hat die Malware-Familie „Mamont“ bereits gezeigt, dass sie Daten aus verschlüsselten Messengern auslesen kann. Das erschwert die Abwehr zusätzlich.

Für Bankkunden bleibt die Empfehlung klar: Geschäfte niemals außerhalb der offiziellen Plattform abwickeln und Apps ausschließlich aus den offiziellen App-Stores herunterladen. Die Grenze zwischen digitalem Betrug und Cyberkrieg verschwimmt. Die Kleinanzeige auf dem Smartphone-Bildschirm ist zur neuen Frontlinie für die Sicherheit des digitalen Bankings geworden.

PS: Sie kaufen oder verkaufen per Kleinanzeige? Ein kurzer Gratis‑Kurs für Android‑Einsteiger zeigt, wie Sie Apps ausschließlich aus offiziellen Quellen installieren, Berechtigungen prüfen und riskante APK‑Links sofort erkennen. In fünf E‑Mails lernen Sie, wie Sie Ihr Gerät gegen Banking‑Trojaner wappnen – praktisch, einfach und kostenlos. Gratis-Android-Einsteigerkurs und Leitfaden sichern