RadzaRat: Android-Trojaner trickst alle Virenscanner aus

Sicherheitsforscher schlagen Alarm: Ein neuer Android-Trojaner operiert im Schatten der Virenschutz-Programme. RadzaRat tarnt sich als harmloser Dateimanager und blieb wochenlang völlig unentdeckt – mit verheerenden Folgen für Banking und Privatsphäre.

Die Analyse von Certo Software offenbart das Ausmaß des Problems: Am 21. November erkannte keine einzige der 66 auf VirusTotal gelisteten Antiviren-Engines die Bedrohung. Eine Erkennungsrate von 0/66 bedeutet komplettes Versagen der Schutzschilde. Selbst Tage später registrieren nur vereinzelte Scanner die Gefahr. Die Malware-Entwickler haben offenbar neue Verschleierungstechniken entwickelt, die automatisierte Analysen komplett umgehen.

Besonders perfide: Der Quellcode wurde auf GitHub gehostet und wirkte dadurch legitim. Hinter dem Projekt steht ein Entwickler mit dem Pseudonym “Heron44”, der die Malware als kostenpflichtigen Service über Telegram vertreibt. Dieses “Malware-as-a-Service”-Modell senkt die Einstiegshürde für Cyberkriminelle drastisch.

Viele Android‑Nutzer übersehen genau die Sicherheitslücken, die RadzaRat ausnutzt – von zu großzügigen Accessibility‑Rechten bis zum Sideloading unsicherer Apps. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android: Berechtigungen richtig prüfen, Sideloading vermeiden, sichere Einstellungen für Banking‑Apps und automatische Updates aktivieren. Mit Schritt‑für‑Schritt‑Anleitungen und praktischen Checklisten, ideal für WhatsApp‑, PayPal‑ und Online‑Banking‑Nutzer. Gratis‑Sicherheitspaket für Android jetzt herunterladen

Bedienungshilfen werden zur Waffe

RadzaRat nutzt eine Funktion, die eigentlich Menschen mit Behinderungen helfen soll: die Accessibility Services. Diese Bedienungshilfen lesen normalerweise Bildschirminhalte vor oder automatisieren Eingaben. In den Händen der Malware werden sie zum Generalschlüssel.

Sobald Nutzer die Berechtigung erteilen – die App fordert sie aggressiv ein – übernimmt der Trojaner faktisch die Kontrolle. Was folgt, ist ein digitaler Albtraum:

• Keylogging in Echtzeit: Jede Tastatureingabe wird protokolliert – Banking-Passwörter, PIN-Codes, private Nachrichten
• 2FA-Codes gestohlen: Selbst Google Authenticator schützt nicht mehr, denn RadzaRat liest die Bildschirminhalte mit
• Automatisierte Klicks: Die Malware erteilt sich selbst weitere Berechtigungen und bestätigt Transaktionen im Hintergrund
• Massive Datenexfiltration: Bis zu 10 Gigabyte an Fotos, Dokumenten und Chatverläufen werden gestohlen

Die Angreifer können praktisch alles sehen, was auf dem Bildschirm passiert – und dabei unsichtbar bleiben.

Telegram als perfekte Tarnkappe

Die technische Raffinesse zeigt sich in der Infrastruktur. RadzaRat nutzt Telegram als Command-and-Control-Server. Der Schachzug ist brillant: Telegram-Verkehr gilt in den meisten Netzwerken als legitim und wird nicht blockiert. Die Malware empfängt ungestört Befehle und versendet gestohlene Daten.

Zusätzlich hosten die Kriminellen ihre Backend-Infrastruktur auf Cloud-Diensten wie Render. Diese Kombination aus legitimen Plattformen macht es Sicherheitsbehörden nahezu unmöglich, die Server dauerhaft abzuschalten. Experten sprechen von einer “Living-off-the-Land”-Taktik, die zum neuen Standard bei mobilen Bedrohungen wird.

Das signaturbasierte Dilemma

Das Auftauchen von RadzaRat entlarvt eine fundamentale Schwachstelle: Signaturbasierte Virenerkennung versagt bei innovativer Malware. Während bekannte Banking-Trojaner wie Xenomorph oder SharkBot mittlerweile gut erkannt werden, fliegt RadzaRat unter dem Radar.

Technisch wirkt die Malware auf den ersten Blick weniger komplex als etablierte Bedrohungen. Doch genau diese Unauffälligkeit macht sie gefährlich. Die Branche muss dringend auf Verhaltensanalysen setzen, die bösartige Aktivitäten erkennen – unabhängig vom Code.

Google Play Protect filtert die meisten Bedrohungen im offiziellen Store. RadzaRat zielt jedoch auf Nutzer ab, die Apps per “Sideloading” aus unsicheren Quellen installieren. Eine Lücke, die sich kaum schließen lässt.

Die nächste Welle steht bevor

Antiviren-Hersteller werden ihre Datenbanken in den kommenden Tagen aktualisieren. Die Erkennungsrate dürfte steigen. Doch dieser Sieg ist nur temporär. Entwickler wie “Heron44” werden den Code modifizieren und erneut unsichtbar werden – ein ewiges Katz-und-Maus-Spiel.

Die größere Gefahr liegt woanders: Der Quellcode ist öffentlich verfügbar. Nachahmer können eigene Varianten erstellen und anpassen. Sicherheitsexperten rechnen bis Jahresende mit einer Welle ähnlicher Angriffe.

Höchste Vorsicht ist geboten bei Apps außerhalb des Play Stores. Apps, die unverhältnismäßig nach Bedienungshilfen verlangen, sollten sofort deinstalliert werden. Die Frage lautet nicht mehr, ob weitere Varianten auftauchen – sondern wann.

PS: Wenn Sie nicht warten wollen, bis Antiviren‑Scanner reagieren, schützen Sie Ihr Handy jetzt proaktiv. Das kostenlose Sicherheitspaket fasst kompakt die fünf wichtigsten Maßnahmen gegen Keylogger, Daten‑Exfiltration und Missbrauch von Accessibility‑Diensten zusammen. Sie erhalten praktische Schritt‑für‑Schritt‑Anleitungen, Checklisten und leicht verständliche Einstellungen, die sofort wirksam sind. Perfekt, um WhatsApp, Online‑Banking und PayPal sicherer zu machen – direkt per E‑Mail. Sicherheitspaket für Android anfordern