ToxicPanda: Neuer Banking-Trojaner hebelt Zwei-Faktor-Authentifizierung aus

Sicherheitsforscher schlagen Alarm: Der Banking-Trojaner “ToxicPanda” umgeht moderne Schutzmechanismen und führt Transaktionen direkt auf infizierten Smartphones aus. Gleichzeitig warnen Verbraucherschützer vor einer massiven Phishing-Welle zur Vorweihnachtszeit.

Die aktuelle Bedrohungslage erreicht eine neue Dimension. Experten von Cleafy und ThreatFabric haben fast zeitgleich gefährliche Malware-Stämme identifiziert, die gezielt die Zwei-Faktor-Authentifizierung aushebeln. Das Computer-Notfallteam der Sparkassen-Finanzgruppe warnt zudem vor täuschend echten Phishing-Mails, die Nutzer unter Zeitdruck setzen.

Die neue Malware verbreitet sich primär über manipulierte Apps, die sich als Google Chrome oder Visa-Anwendungen tarnen. Das Besondere: ToxicPanda führt Transaktionen direkt auf dem infizierten Smartphone durch – ein Vorgehen, das Sicherheitsexperten als “On-Device Fraud” bezeichnen.

Die Schadsoftware missbraucht Android-Barrierefreiheitsdienste, um sich selbst Berechtigungen zu erteilen und Nutzereingaben zu simulieren. Für Banksysteme wirken die Überweisungen legitim, da sie vom bekannten Gerät stammen. Analysen zeigen: ToxicPanda zielt speziell auf Banking-Schutzmaßnahmen in Europa und Lateinamerika ab.

Passend zum Thema Android-Sicherheit – viele Android-Nutzer übersehen grundlegende Schutzmaßnahmen gegen Banking-Trojaner. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Android-Berechtigungen richtig einschränken, Barrierefreiheits‑Dienste prüfen, Screen‑Sharing stoppen und nur offizielle Stores nutzen. Zudem gibt es eine praktische Checkliste für schnelle Einstellungen, die Angriffe wie ToxicPanda oder FakeCall deutlich erschweren. Gratis-Sicherheitspaket: 5 Schutzmaßnahmen für Ihr Android herunterladen

FakeCall leitet Anrufe zur Bank an Betrüger um

Die Weiterentwicklung der “FakeCall”-Malware erreicht eine neue Perfidität. Die Schadsoftware greift tief ins Telefonsystem ein und fängt Anrufe ab.

Das perfide Szenario: Ein Nutzer erhält eine Phishing-Mail mit der Aufforderung, dringend seine Bank zu kontaktieren. Wählt er die echte Banknummer, leitet die Malware den Anruf unbemerkt an Betrüger weiter. Auf dem Display erscheint weiterhin die legitime Nummer. Der vermeintliche Bankmitarbeiter nutzt das Vertrauen, um PINs oder TANs abzufangen.

Screen-Sharing-Betrug: Die unterschätzte Gefahr

Kriminelle setzen verstärkt auf psychologischen Druck. Die Masche funktioniert in vier Schritten:

• Der Köder: Anrufe von angeblichen Bank- oder Amazon-Mitarbeitern
• Das Szenario: Behauptung eines kompromittierten Kontos
• Die “Lösung”: Installation von AnyDesk oder TeamViewer
• Der Diebstahl: Mitlesen von Passwörtern und TANs in Echtzeit

Google reagiert bereits: Neue Android-Sicherheitsfeatures sollen Screen-Sharing automatisch pausieren, sobald eine Banking-App geöffnet wird. Bis diese Updates flächendeckend greifen, bleibt Wachsamkeit der wichtigste Schutz.

Aktuelle Phishing-Wellen im Fokus

Die Qualität gefälschter Mails erreicht neue Höhen. Dank KI-Tools sind Grammatikfehler und schlechtes Deutsch Vergangenheit. Banken registrieren derzeit spezifische Kampagnen:

Sparkasse: Mails mit Betreff “Aktualisierung erforderlich” oder “pushTAN-Wartungsarbeiten” führen auf täuschend echte Login-Seiten.

DKB & ING: Warnungen vor angeblichen “Unregelmäßigkeiten bei der Anmeldung”.

Targobank: SMS über ablaufende Banking-App-Registrierungen.

Die Ansprache ist korrekt, Logos perfekt platziert. Nur ein kritischer Blick auf Absenderadresse und Links schützt vor dem Klick.

Fraud-as-a-Service: Professionalisierung der Cyberkriminalität

“Kriminelle Gruppen müssen keine Hacker mehr sein”, erklären Branchenbeobachter. Komplexe Malware wie ToxicPanda wird einfach im Darknet gemietet. Die Banken stehen unter massivem Druck: Während biometrische Verfahren als sicher galten, zeigen aktuelle Angriffe neue Schwachstellen.

Kriminelle knacken nicht die Biometrie – sie übernehmen das Gerät selbst oder bringen Nutzer per Social Engineering dazu, Transaktionen selbst zu autorisieren. BaFin und BKA stellen klar: Keine Bank fordert jemals zur Installation von Fernwartungssoftware auf oder verlangt TANs am Telefon.

Sofortmaßnahmen für Bankkunden

Experten erwarten zunehmende Angriffe über die Feiertage. Banken sind schlechter erreichbar, Kunden tätigen mehr Transaktionen – ideale Bedingungen für Betrüger.

Diese Regeln schützen:

• Keine Apps auf Zuruf: Installieren Sie AnyDesk niemals während eines Telefonats
• Nur offizielle Stores: Banking-Apps ausschließlich über Google Play oder App Store laden
• Auflegen und zurückrufen: Bei verdächtigen Anrufen die Banknummer manuell wählen
• Push-Nachrichten prüfen: Bestätigen Sie nur selbst ausgelöste Authentifizierungen

Im Ernstfall: Online-Banking sofort über den Sperr-Notruf 116 116 sperren und Anzeige erstatten.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft genutzte Lücke bei Fernzugriffen. Der kurze Gratis-Ratgeber liefert einfache Anleitungen zum Blockieren verdächtiger Apps, Absichern von Banking-Apps und richtigem Umgang mit Anrufen und TAN-Anfragen. Ideal jetzt vor den Feiertagen, wenn Phishing-Wellen zunehmen. Jetzt Android-Sicherheits-Tipps kostenlos anfordern