ToxicPanda und FakeCall bedrohen Android-Nutzer in Europa

Sicherheitsforscher schlagen Alarm: Zwei neue Banking-Trojaner greifen gezielt europäische Android-Nutzer an. Während ToxicPanda Transaktionen direkt auf infizierten Geräten ausführt, fängt FakeCall Bankanrufe ab und leitet sie an Betrüger um. Über 1.500 Geräte sind bereits kompromittiert – Schwerpunkt Italien.

Die Angriffsmethoden der Cyberkriminellen haben sich fundamental gewandelt. Statt nur Zugangsdaten zu stehlen, setzen sie auf vollständige Kontrolle über Smartphones und Bankgeschäfte. Pünktlich zur Shopping-Saison zeigen Analysen von Cleafy und Zimperium: Die Bedrohungslage erreicht eine neue Dimension.

Das italienische Sicherheitsunternehmen Cleafy entdeckte Anfang November eine neue Malware-Familie namens ToxicPanda. Der Trojaner stammt vermutlich aus dem chinesischsprachigen Raum und richtet sich erstmals massiv gegen europäische Bankkunden.

Die geografische Verteilung der Infektionen ist eindeutig:

• Italien: 56 % aller Fälle
• Portugal: 19 % der Infektionen
• Spanien und Lateinamerika: weitere aktive Fälle

ToxicPanda setzt auf On-Device Fraud – eine Technik, die bisherige Sicherheitsmaßnahmen aushebelt. Die Malware missbraucht Androids Barrierefreiheitsdienste und führt Überweisungen direkt vom infizierten Gerät aus. Für die Bank sieht die Transaktion völlig legitim aus, da sie vom vertrauten Smartphone des Opfers stammt.

Passend zum Thema Android‑Sicherheit: On‑Device Fraud und Sideloading machen Banking‑Apps besonders verwundbar. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – von der richtigen Play‑Store‑Nutzung über das Prüfen von Berechtigungen und Bedienungshilfen bis zum Erkennen von Smishing‑Meldungen. Mit klaren Schritt‑für‑Schritt‑Anleitungen schützen Sie WhatsApp, Online‑Banking und Zahlungs‑Apps effektiv. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die Fähigkeiten im Detail:

• Simulation von Tipp- und Wischgesten
• Abfangen von Einmalpasswörtern aus SMS und Authenticator-Apps
• Umgehung biometrischer Sicherheitsmechanismen
• Echtzeit-Zugriff auf Banking-Apps

Obwohl der Code noch Platzhalter enthält und auf ein frühes Entwicklungsstadium hindeutet, funktioniert ToxicPanda bereits vollständig. Cleafy warnt: Die Malware wird kontinuierlich weiterentwickelt.

FakeCall: Wenn der Bankanruf zur Falle wird

Zimperium dokumentierte Ende Oktober eine gefährliche Weiterentwicklung der Vishing-Malware FakeCall. Die Software perfektioniert das Voice-Phishing durch eine tückische Funktion: Call-Hijacking.

Das Szenario ist perfide: Ein Nutzer ruft die offizielle Hotline seiner Bank an. Auf dem Display erscheint die korrekte Nummer. Doch im Hintergrund leitet FakeCall den Anruf an Betrüger um. Das Opfer gibt sensible Daten preis oder autorisiert Transaktionen – in dem Glauben, mit echten Bankangestellten zu sprechen.

Neue technische Features:

• Bluetooth-Überwachung: Erkennt Headsets und passt Audio-Umleitung an
• Screen-Monitoring: Überwacht Banking-Apps und Anrufe in Echtzeit
• UI-Spoofing: Imitiert Androids Anruf-Oberfläche perfekt

FakeCall nutzt ebenfalls die Accessibility Services und setzt sich als Standard-Telefonie-App fest. Nutzer bemerken die Manipulation oft nicht, da die Benutzeroberfläche vom Original nicht zu unterscheiden ist.

Der Infektionsweg: Sideloading als Einfallstor

Beide Trojaner verbreiten sich nicht über den Google Play Store. Die Angreifer setzen auf Sideloading – die Installation von Apps außerhalb offizieller Quellen.

Typische Infektionsketten:

• Smishing: Gefälschte SMS von Paketdiensten oder Banken
• Fake-Updates: Pop-ups fordern zum Download vermeintlicher Browser-Updates auf
• Telefonische Täuschung: Betrüger drängen Opfer zur Installation von “Sicherheits-Apps”

Sobald die APK-Datei installiert ist, fordert die Malware aggressiv Zugriff auf die Barrierefreiheitsdienste. Mit dieser Berechtigung übernimmt sie faktisch die Kontrolle über das gesamte Gerät.

Warum gerade Europa? Warum gerade jetzt?

Die geografische Expansion chinesischsprachiger Akteure nach Europa ist bemerkenswert. Analysten sehen darin eine Reaktion auf gesättigte oder zu riskante Heimatmärkte. Europa bietet mit der SEPA-Infrastruktur und wohlhabenden Zielgruppen attraktive Angriffsziele.

Der Zeitpunkt ist strategisch gewählt: Die Vorweihnachtszeit mit hohem Transaktionsvolumen und zahlreichen Paketbenachrichtigungen bietet ideale Tarnung für Smishing-Kampagnen. Nutzer sind weniger vorsichtig, wenn sie täglich Lieferbenachrichtigungen erwarten.

Multi-Faktor-Authentifizierung ausgehebelt

On-Device Fraud ist die Antwort auf verbesserte Banking-Sicherheit. Da Banken zunehmend biometrische Daten und Verhaltensanalysen nutzen, reicht das Stehlen von Passwörtern nicht mehr. Die Transaktion muss auf dem legitimen Gerät des Opfers erfolgen, um Sicherheitssysteme zu täuschen.

Google reagiert – aber reicht das?

Im November-Sicherheitsupdate schloss Google mehrere kritische Lücken, darunter CVE-2024-43093 und CVE-2024-43047, die bereits in gezielten Angriffen ausgenutzt wurden. Das Unternehmen baut zudem die “Live Threat Detection” in Google Play Protect aus.

Doch die Entwicklung schreitet schnell voran. Experten erwarten für die kommenden Wochen:

• Vollautomatisierung: ToxicPanda wird Platzhalter durch funktionsfähige Automatic Transfer Systems ersetzen
• KI-gestützte Stimmen: FakeCall könnte mit Deepfake-Technologie kombiniert werden
• Höhere Infektionsraten: Die Shopping-Saison wird als Deckmantel genutzt

So schützen Sie sich

Die wichtigsten Sicherheitsmaßnahmen:

• Keine Apps außerhalb des Play Stores installieren
• Skeptisch bei Browser-Pop-ups für “dringende Updates”
• Regelmäßig prüfen, welche Apps Zugriff auf Bedienungshilfen haben (Einstellungen → Bedienungshilfen)
• Bei verdächtigen Anrufen: Auflegen und eigenständig die Bank über offizielle Kanäle kontaktieren
• Verdacht auf Infektion: Gerät sofort vom Netz trennen und auf Werkseinstellungen zurücksetzen

Die Bedrohung ist real und wächst. Mit über 1.500 bestätigten Infektionen allein bei ToxicPanda zeigt sich: Mobile Banking-Trojaner haben Europa als lukrativen Markt entdeckt. Wachsamkeit ist der beste Schutz – besonders in den kommenden Wochen.

PS: Viele Nutzer übersehen einfache Einstellungen, die Sideloading- und Vishing-Angriffe deutlich erschweren. Das kostenlose Android‑Sicherheitspaket führt Sie in wenigen Schritten durch Update‑Checks, Berechtigungs‑Kontrolle, das richtige Verhalten bei verdächtigen SMS/Anrufen und das sichere Prüfen von Apps. So reduzieren Sie das Risiko, dass Malware wie ToxicPanda oder FakeCall Ihr Konto missbraucht. Sicherheitspaket gratis anfordern