ToxicPanda & Necro: Banking-Trojaner attackieren Europa

Eine aggressive Welle neuer Android-Schadsoftware überrollt Europa. Sicherheitsforscher warnen vor dem Banking-Trojaner “ToxicPanda” und der Necro-Malware, die sich in VPN-Apps und beliebten Instagram-Mods verstecken. Google reagiert mit KI-gestützter Echtzeit-Erkennung – doch die Angreifer werden immer raffinierter.

Es ist eine der komplexesten Bedrohungslagen für Android-Nutzer in diesem Jahr. Cyberkriminelle verstecken ihre Schadsoftware nicht mehr in dubiosen Apps, sondern tarnen sie als vermeintliche Sicherheits-Tools, VPN-Dienste und modifizierte Versionen von Instagram, Spotify oder WhatsApp.

Die Angriffe zielen direkt auf Bankkonten. Besonders besorgniserregend: Während Banking-Trojaner früher oft auf Asien beschränkt waren, nehmen die neuen Varianten gezielt Nutzer in Europa ins Visier.

Passend zum Thema Android-Sicherheit: Viele Android-Nutzer übersehen grundlegende Einstellungen, die Banking-Trojaner wie ToxicPanda ausnutzen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen – von Play Protect-Prüfung über Berechtigungs-Checks bis hin zur sicheren Vermeidung von Sideloading – in leicht nachvollziehbaren Schritt-für-Schritt-Anleitungen. So schützen Sie Ihr Smartphone, Ihre Bankzugänge und Ihre privaten Daten vor unsichtbarer Malware. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die brisanteste Neuentdeckung stammt von Cleafy. Die Sicherheitsforscher enthüllten Anfang November die Existenz von ToxicPanda, einem fortgeschrittenen Banking-Trojaner mit klarem Fokus auf Europa.

Das Vorgehen der Malware:
* Ziel: Retail-Banking-Kunden in Italien, Portugal und Spanien
* Methode: On-Device Fraud (ODF) – betrügerische Transaktionen direkt vom Gerät des Opfers
* Tarnung: Fake-VPN-Apps, gefälschte Browser-Updates oder Sicherheits-Tools

Code-Analysen zeigen: ToxicPanda stammt vom TgToxic-Trojaner aus Südostasien ab. Dass chinesischsprachige Akteure nun gezielt europäische Banken angreifen, markiert laut Cleafy eine ungewöhnliche und besorgniserregende Verschiebung.

Die Verbreitung erfolgt über Sideloading – also das Installieren von Apps außerhalb des Google Play Stores. Die Malware erschleicht sich weitreichende Berechtigungen und umgeht so die Sicherheitsmechanismen der Banken, die normalerweise verdächtige Geräte blockieren würden.

Necro infiziert Millionen über Instagram-Mods

Während ToxicPanda Bankkonten leert, infiziert der Necro-Trojaner Millionen Geräte über die Gier nach Gratis-Premium-Features. Kaspersky bestätigt: Diese Malware verbreitet sich massiv über modifizierte Versionen beliebter Apps.

Besonders betroffen sind Nutzer, die nach “Instagram Plus”, “Spotify Plus” oder “WhatsApp Mods” suchen. Diese inoffiziellen Versionen versprechen werbefreie Nutzung oder Zusatzfunktionen – liefern aber den Necro-Loader mit.

Die technischen Raffinessen:
* Steganographie: Necro versteckt schädlichen Code in harmlosen Bilddateien (PNGs)
* Verbreitung: Kurzzeitig sogar im Google Play Store, versteckt in “Wuta Camera” und “Max Browser”
* Schadfunktionen: Unsichtbare Werbung, kostenpflichtige Abos, Missbrauch als Proxy für kriminelle Aktivitäten

Einmal installiert, lädt Necro weitere Schadmodule nach und verwandelt das Smartphone in eine Gelddruckmaschine für Kriminelle.

FakeCall: Wenn der Bank-Anruf umgeleitet wird

Zimperium warnt vor einer neuen Variante der FakeCall-Malware mit besonders perfider Funktion: Sie fängt ausgehende Anrufe ab.

Versucht ein Opfer seine Bank anzurufen, trennt die Malware die Verbindung zur echten Nummer und leitet den Anruf nahtlos an Betrüger um. Auf dem Display erscheint weiterhin die Banknummer, doch am anderen Ende sitzt ein Krimineller, der PINs und TANs abfragt.

Die Täuschung ist perfekt – selbst wachsame Nutzer fallen darauf herein.

Googles KI-Gegenoffensive

Google rollt mit Play Protect Live Threat Detection eine neue Verteidigungslinie aus. Die Funktion nutzt künstliche Intelligenz direkt auf dem Gerät, um bösartiges Verhalten in Echtzeit zu erkennen.

Anders als bisherige Virenscanner analysiert die Live Threat Detection, wie sich Apps tatsächlich verhalten. Versucht eine App, andere Apps zu überlagern oder unbemerkt SMS zu lesen, schlägt das System Alarm.

Die Funktion startet auf Pixel-Geräten ab Generation 6 und wird in den kommenden Monaten auf Samsung, OnePlus und Oppo ausgeweitet.

Warum gerade jetzt?

Experten sehen zwei Trends zusammenkommen:

Abo-Müdigkeit: Immer mehr Dienste drängen Nutzer in teure Abonnements. Dies treibt viele dazu, nach “kostenlosen Mods” zu suchen – und macht sie zur leichten Beute.

Professionalisierung: Tools wie ToxicPanda zeigen, dass Malware-as-a-Service wächst. Kriminelle Gruppen mieten leistungsfähige Baukästen, die speziell auf regionale Banken angepasst sind.

“Die Qualität der Täuschung hat ein neues Niveau erreicht”, kommentieren Sicherheitsanalysten. “Steganographie war früher staatlichen Akteuren vorbehalten. Jetzt finden wir das in Mod-Apps für Teenager.”

So schützen Sie sich

Kein Sideloading: Installieren Sie niemals APK-Dateien von Webseiten oder Telegram-Gruppen. Das Versprechen von “Gratis-Premium” ist der sicherste Weg zur Infektion.

Play Protect aktivieren: Prüfen Sie in den Einstellungen, ob Google Play Protect aktiv ist.

Berechtigungen hinterfragen: Eine VPN-App benötigt keinen Zugriff auf Bedienungshilfen. Dies ist oft das Einfallstor für Banking-Trojaner.

Keine Mods nutzen: Verwenden Sie ausschließlich offizielle Versionen von Instagram, WhatsApp und Spotify.

Die Ära, in der man Malware an schlechtem Design erkannte, ist vorbei. Die neuen Bedrohungen sind unsichtbar, effizient und warten nur auf den einen falschen Klick.

PS: Sie nutzen ein Android-Smartphone und möchten sich wirkungsvoll gegen Banking-Trojaner, Fake-VPNs und infizierte Mod-Apps schützen? Der Gratis-Ratgeber erklärt praxisnah, wie Sie Play Protect richtig nutzen, gefährliche Berechtigungen erkennen und Sideloading sicher vermeiden. Mit klaren Checklisten und sofort umsetzbaren Tipps – ideal für alle, die Online-Banking oder Bezahldienste auf dem Handy nutzen. Jetzt Gratis-Sicherheitsratgeber für Android anfordern