ToxicPanda, TrickMo

ToxicPanda und TrickMo: Android-Banking-Trojaner hebeln 2FA aus

09.12.2025 - 18:19:12

ToxicPanda und TrickMo: Android-Banking-Trojaner hebeln 2FA aus - Foto: über boerse-global.de
ToxicPanda und TrickMo: Android-Banking-Trojaner hebeln 2FA aus - Foto: über boerse-global.de

Sicherheitsforscher warnen vor einer neuen Angriffswelle auf europäische Banking-Apps. Die Malware-Varianten ToxicPanda und TrickMo führen Überweisungen direkt vom Smartphone des Opfers aus – und umgehen dabei die Zwei-Faktor-Authentifizierung.

In dieser Woche schlagen Threat-Intelligence-Firmen Alarm: Eine neue Generation von Banking-Trojanern zielt massiv auf Finanz-Apps in Europa ab. Die Angreifer setzen auf sogenannten “On-Device Fraud” – sie führen Transaktionen direkt auf dem infizierten Gerät durch, statt nur Daten zu stehlen. Besonders perfide: Die Überweisung kommt vom vertrauenswürdigen Smartphone des Nutzers, bankseitige Betrugserkennungssysteme schlagen deshalb oft keinen Alarm.

Die italienische Cybersicherheitsfirma Cleafy warnt vor dem Banking-Trojaner ToxicPanda. Die Malware zielt auf über 1.500 verschiedene Banken- und Finanz-Apps weltweit ab, mit Schwerpunkt auf Europa und Lateinamerika.

ToxicPanda stammt aus der “TgToxic”-Familie, die ursprünglich im asiatischen Raum aktiv war. Die Schadsoftware infiltriert Geräte meist über Sideloading – also die Installation außerhalb des Google Play Stores – und tarnt sich als Chrome-Browser oder Dating-App.

Anzeige

Viele Android-Nutzer übersehen diese fünf einfachen Schutzmaßnahmen – und bleiben damit für Banking-Trojaner angreifbar. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Smartphone sichern: sichere Quellen für App-Installation, richtige Berechtigungskontrollen, Play Protect aktivieren sowie praktische Checklisten für kritische Apps wie Banking oder PayPal. Praxisnahe Anleitungen helfen Ihnen, Schwachstellen sofort zu schließen. Gratis-Sicherheitspaket für Android herunterladen

Das Besondere: Die Kriminellen können das Gerät fernsteuern und Transaktionen direkt vom Handy des Opfers initiieren. Code-Analysen deuten auf chinesischsprachige Entwickler hin, was auf eine organisierte, international agierende Tätergruppe schließen lässt.

TrickMo fälscht den Sperrbildschirm

Das Sicherheitsunternehmen Zimperium warnt parallel vor einer gefährlichen Evolution des Trojaners TrickMo. Die neueste Variante simuliert den Android-Entsperrbildschirm.

Der Trick: Nutzer geben ihre PIN oder ihr Entsperrmuster in eine gefälschte Maske ein. TrickMo fängt die Eingabe ab und sendet sie an die Angreifer. Kombiniert mit Fernzugriffsfunktionen verschafft das den Kriminellen vollen Zugriff auf das gesperrte Gerät.

Zusätzlich missbraucht TrickMo die Barrierefreiheitsdienste von Android. Diese Rechte erlauben der Malware, sich selbstständig weitere Berechtigungen zu erteilen, SMS mit Einmalpasswörtern abzufangen und Bildschirmaufnahmen während der Banking-App-Nutzung zu machen.

Barrierefreiheit als Einfallstor

Beide Malware-Familien nutzen die Android Accessibility Services aus. Diese Funktionen sollen eigentlich Menschen mit Behinderungen die Smartphone-Nutzung erleichtern – etwa durch Screen-Reader oder automatisierte Klicks.

Die Trojaner bringen Nutzer durch Social Engineering dazu, diese Dienste für die schädliche App zu aktivieren. Was dann passiert:

  • Keystroke Logging: Jeder Tastendruck wird aufgezeichnet
  • Overlay-Attacken: Unsichtbare Fenster über Banking-Apps greifen Login-Daten ab
  • 2FA-Umgehung: Die Malware liest SMS und löscht Benachrichtigungen – Opfer bemerken oft gar nicht, dass Transaktionen bestätigt wurden

Experten von ThreatFabric bezeichnen diesen Trend zur Automatisierung von Betrugsfällen als größte technische Herausforderung für Finanzinstitute im kommenden Jahr.

Professionalisierung der Cyberkriminalität

Während Google durch Play Protect und strengere Store-Richtlinien die Sicherheit erhöht, weichen Angreifer auf alternative Vertriebswege aus – etwa Smishing oder gefälschte Webseiten.

Die neue Malware-Generation setzt nicht mehr auf reine Datenspionage, sondern auf direkte Geldabschöpfung. Der finanzielle Schaden pro infiziertem Gerät dürfte dadurch signifikant steigen. Im Vergleich zu früheren Wellen wie “Teabot” oder “Sharkbot” agieren die Trojaner deutlich aggressiver.

Banken müssen verstärkt auf verhaltensbasierte Biometrie setzen. Diese Systeme analysieren nicht nur, was eingegeben wird, sondern wie – etwa den Winkel des Smartphones oder die Tippgeschwindigkeit. Bots und Fernzugriffe weisen hier andere Muster auf als der legitime Besitzer.

So schützen Sie sich

Sicherheitsforscher rechnen in den kommenden Wochen mit weiteren Varianten dieser Malware-Familien. Drei Regeln sollten Android-Nutzer ab sofort beachten:

  • Keine Apps aus unbekannten Quellen: Die Installation von APK-Dateien außerhalb des Play Stores ist das Haupteinfallstor für ToxicPanda
  • Vorsicht bei Berechtigungen: Eine Taschenlampen- oder PDF-App, die Zugriff auf Bedienungshilfen verlangt, sollte sofort gelöscht werden
  • Play Protect prüfen: Stellen Sie sicher, dass der integrierte Google-Virenscanner aktiv ist

Die Angreifer werden voraussichtlich versuchen, die Erkennung durch KI-gestützte Sicherheitssoftware weiter zu erschweren. Google und Smartphone-Hersteller dürften in den nächsten Monaten mit Sicherheitsupdates reagieren, um den Missbrauch der Barrierefreiheitsdienste einzuschränken.

Anzeige

PS: Diese fünf Maßnahmen machen Ihr Android-Smartphone spürbar sicherer – gerade gegen Angriffe, die Sperrbildschirme fälschen oder 2FA auslesen. Der praxisorientierte Gratis-Report erklärt leicht umsetzbare Einstellungen, wie Sie verdächtige Apps erkennen, Bedienungshilfen kontrollieren und automatische Sicherheitsprüfungen einrichten. Schützen Sie Ihre Banking-Apps mit sofort anwendbaren Checklisten. Jetzt Android-Schutzpaket kostenlos anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler