ToxicPanda-Trojaner bedroht deutsche Bankkunden

Deutsche Bankkunden geraten ins Visier hochentwickelter Malware. Während das Weihnachtsgeschäft boomt, schlagen Sicherheitsexperten Alarm: Eine gefährliche Kombination aus Android-Banking-Trojanern und perfiden Phishing-Kampagnen hat es auf Sparkassen-, Klarna- und Volksbank-Kunden abgesehen.

Die erste Dezemberwoche markiert den Startschuss für die intensivste Shopping-Phase des Jahres. Doch die festliche Stimmung trübt sich: Verbraucherzentralen und IT-Sicherheitsfirmen verzeichnen einen massiven Anstieg an Betrugsversuchen. Anders als in den Vorjahren kombinieren Kriminelle klassisches Social Engineering mit Schadsoftware, die selbst Zwei-Faktor-Authentifizierung umgeht.

Die Gefahr ist real: Wer jetzt unachtsam auf eine Push-Benachrichtigung klickt oder einen QR-Code scannt, riskiert ein leergeräumtes Konto noch vor dem Fest.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, die genau jetzt Kontodiebstahl verhindern können. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie die Option “Installation aus unbekannten Quellen” deaktivieren, Accessibility-Rechte prüfen, sichere App‑Quellen wählen und QR‑Codes sicher handhaben – plus Checkliste für sicheres Online‑Banking. Nutzen Sie die klaren Anleitungen, bevor Sie eine App installieren. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android-Smartphone herunterladen

Das Phishing-Radar der Verbraucherzentrale schlägt seit Montag Alarm. Eine perfide Kampagne zielt auf Nutzer des Zahlungsdienstleisters Klarna ab. Unter dem Betreff “Bitte bestätigen Sie Ihre aktuellen Angaben” erhalten Tausende Verbraucher täuschend echt aussehende E-Mails.

Der Vorwand: Eine angebliche Aktualisierung der Kundendaten sei notwendig, um “zukünftige Transaktionen korrekt zu verarbeiten”. Die Betrüger spielen gezielt mit der Angst vor blockierten Zahlungen mitten im Weihnachtseinkauf.

Ein Detail verrät den Betrug: Der Button zur Bestätigung trägt die grammatikalisch falsche Aufschrift “Aktuell Daten überprüfen”. Dennoch ist das Design so professionell, dass viele Nutzer in die Falle tappen. Wer den Link anklickt, landet auf einer gefälschten Login-Seite.

Sparkassen und Volksbanken unter Beschuss

Parallel rollt eine Angriffswelle gegen Kunden der Sparkassen und Volksbanken Raiffeisenbanken. Die Täter nutzen technische Vorwände:

Sparkasse: Kunden sollen ein vermeintliches “PushTAN-Update” durchführen oder einer Änderung der AGB zustimmen.

Volksbanken: E-Mails warnen vor einer angeblichen “Konto-Einschränkung”, die nur durch sofortige “Datenverifizierung” aufgehoben werden könne.

ING & DKB: Auch Direktbank-Kunden sind betroffen. Hier drohen die Täter mit gesperrten Zugängen.

Die Verbraucherzentrale rät dringend: “Verschieben Sie solche E-Mails unbeantwortet in den Spam-Ordner.” Banken fordern ihre Kunden niemals per E-Mail auf, Daten über einen Link zu verifizieren.

ToxicPanda: Die unsichtbare Bedrohung

Während Phishing auf den Faktor Mensch setzt, greift eine neue technische Bedrohung das Gerät selbst an. Sicherheitsforscher warnen aktuell vor dem Android-Banking-Trojaner ToxicPanda. Diese Schadsoftware hat ihre Aktivitäten in Europa massiv ausgeweitet.

So funktioniert die Malware: ToxicPanda gelangt meist über Sideloading auf die Geräte – die Installation von Apps aus unsicheren Quellen außerhalb des Google Play Stores. Oft tarnt sich der Trojaner als nützliche Utility-App oder gefälschte Version bekannter Browser wie Google Chrome.

Sobald installiert, nutzt ToxicPanda die Accessibility Services von Android aus. Diese Rechte erlauben der Malware:

• Bildschirminhalte auszulesen und Tastatureingaben zu protokollieren
• Sich selbst Admin-Rechte zu gewähren
• On-Device Fraud zu begehen: Die Malware initiiert und bestätigt Überweisungen direkt auf dem Gerät des Opfers, ohne dass dieser es bemerkt

Besonders perfide: Da die Transaktion vom “vertrauenswürdigen” Gerät des Kunden ausgeht, greifen viele bankseitige Sicherheitsmechanismen nicht. Die Malware kann Einmalpasswörter abfangen, bevor der Nutzer sie sieht.

Quishing: Gefahr aus dem Briefkasten

Ein weiterer besorgniserregender Trend ist das sogenannte “Quishing” – QR-Code-Phishing. Da E-Mail-Sicherheitsfilter Textinhalte mittlerweile gut scannen können, verpacken Kriminelle ihre schädlichen Links zunehmend in QR-Codes.

Der hybride Angriff: Kriminelle versenden professionell gefälschte Briefe im Namen von Großbanken wie der Commerzbank oder Deutschen Bank. Die Schreiben fordern zur Aktualisierung des “PhotoTAN”-Verfahrens auf – inklusive QR-Code zum angeblich sicheren Download.

Die Falle: Der Scan führt auf eine Phishing-Seite, die für mobile Geräte optimiert ist. Da der Nutzer den Link auf dem Smartphone öffnet, ist die URL-Leiste oft ausgeblendet oder verkürzt dargestellt. Die Überprüfung der Echtheit wird massiv erschwert.

Warum die Angriffe jetzt so erfolgreich sind

Die aktuelle Sicherheitslage zeigt eine gefährliche Professionalisierung der Cyberkriminalität. Drei Hauptfaktoren treiben die Eskalation:

Saisonaler Stress: In der Vorweihnachtszeit ist die Toleranzschwelle für Störungen gering. Eine E-Mail von Klarna über eine “blockierte Bestellung” löst sofortigen Handlungsdruck aus. Kriminelle nutzen diesen psychologischen Hebel gnadenlos.

KI-Unterstützung: Die meisten Phishing-Texte sind dank generativer KI mittlerweile stilistisch und orthografisch perfekt. Die Erkennung für Endnutzer wird massiv erschwert.

Omnichannel-Betrug: Täter bespielen alle Kanäle gleichzeitig – App-Push, E-Mail, SMS, Brief. Das senkt das Misstrauen gegenüber einzelnen Nachrichten.

Das Bundesamt für Sicherheit in der Informationstechnik weist zudem darauf hin: Zwei-Faktor-Authentifizierung ist essenziell, aber kein Allheilmittel mehr, wenn Malware wie ToxicPanda direkt auf dem Endgerät operiert.

So schützen Sie sich jetzt

Für den Rest des Jahres ist keine Entspannung in Sicht. Nach den Feiertagen wird eine Welle von Betrugsversuchen erwartet, die sich auf Retouren und vermeintliche Rückerstattungen konzentriert.

Handlungsempfehlungen für Verbraucher:

• Keine App-Installation aus unbekannten Quellen: Laden Sie Apps ausschließlich aus dem offiziellen Google Play Store oder Apple App Store. Deaktivieren Sie die Option “Installation aus unbekannten Quellen” in den Android-Einstellungen.

• Der 3-Sekunden-Check: Atmen Sie bei alarmierenden E-Mails durch. Prüfen Sie den Absender und rufen Sie im Zweifel die Bank-Website manuell im Browser auf, statt Links zu klicken.

• QR-Codes kritisch prüfen: Scannen Sie keine QR-Codes aus unangeforderten Briefen oder E-Mails, die zu Bank-Logins führen. Banken fordern solche Schritte nicht unaufgefordert per Post.

• Verbraucherzentrale konsultieren: Nutzen Sie das Online-Phishing-Radar, um aktuelle Betrugswellen abzugleichen.

Die Digitalisierung des Bankwesens bietet Komfort, verlangt aber mehr Wachsamkeit denn je. Wer sein Smartphone als digitalen Tresor nutzt, muss es auch so schützen.

PS: So einfach machen Sie Ihr Smartphone wieder sicher: In diesem kostenlosen Ratgeber finden Sie praxiserprobte Schritte gegen Banking-Trojaner wie ToxicPanda, inklusive Anleitung zu sicheren PhotoTAN- und QR-Code-Gewohnheiten sowie einer schnellen System-Checkliste für den Notfall. Ideal für Online-Shopper und Banking-Nutzer, die ihr Konto schützen wollen. Jetzt Sicherheitspaket für Android anfordern