Android-Malware ahmt Menschen nach: So tricksen neue Trojaner Banking-Apps aus
Neue Android-Malware-Generation simuliert menschliche Eingaben und umgeht so Sicherheitssysteme von Banken. Trojaner wie Herodotus nutzen Bedienungshilfen für umfassende Gerätekontrolle.
Millionen Android-Nutzer geraten ins Visier einer neuen Malware-Generation. Sicherheitsforscher schlagen Alarm: Banking-Trojaner wie “Herodotus” simulieren menschliches Tippverhalten, um Schutzsysteme von Banken zu täuschen. Was diese Schädlinge so gefährlich macht und wie sie auf Smartphones gelangen.
Der Trojaner, der tippt wie ein Mensch
Herodotus markiert einen Wendepunkt in der Android-Bedrohungslandschaft. Statt Befehle in Sekundenbruchteilen abzufeuern, baut die Malware bewusst Verzögerungen zwischen Tastenanschlägen ein – zwischen 0,3 und 3 Sekunden. Diese Simulation menschlicher Eingabemuster umgeht verhaltensbasierte Betrugserkennungssysteme, die normalerweise automatisierte Bot-Aktivitäten blockieren würden.
Das niederländische Sicherheitsunternehmen ThreatFabric entdeckte den Trojaner in Untergrundforen. Dort wird er als “Malware-as-a-Service” verkauft – ein Geschäftsmodell, das auch weniger versierten Kriminellen professionelle Angriffswerkzeuge zugänglich macht.
Die Zielgruppe? Android-Versionen 9 bis 16. Der Trojaner missbraucht die Bedienungshilfen des Betriebssystems, um sich weitreichende Rechte zu verschaffen: Bildschirmaufnahmen, Transaktionssteuerung, vollständige Gerätekontrolle.
Anzeige: Übrigens — viele Angriffe auf Android zielen genau auf die Schwachstellen, die hier beschrieben werden. Wer sein Smartphone vor Banking-Trojanern und Datendiebstahl schützen möchte, findet in einem kostenlosen Sicherheitspaket fünf konkrete Schutzmaßnahmen mit Schritt-für-Schritt-Anleitungen: von der Kontrolle der Bedienungshilfen bis zum sicheren Umgang mit App-Downloads. Gratis-Sicherheitspaket für Android jetzt herunterladen
BankBot-YNRK und PhantomCard verschärfen die Lage
Herodotus kommt nicht allein. Anfang November tauchten BankBot-YNRK und DeliveryRAT auf. BankBot-YNRK nimmt gezielt bestimmte Gerätemodelle ins Visier und stiehlt:
- Kontakte und Nachrichten
- Standortdaten
- Banking-Zugangsdaten
- Zweifaktor-Authentifizierungscodes
Eine andere Gefahr droht von PhantomCard. Dieser Trojaner nutzt die NFC-Schnittstelle zum Auslesen von Kartendaten. Die Masche: Eine gefälschte Webseite imitiert den Google Play Store und bietet eine vermeintliche Sicherheits-App an.
Nach der Installation fordert die App zur “Verifizierung” auf – Nutzer sollen ihre Bankkarte ans Smartphone halten. In diesem Moment liest PhantomCard die Kartendaten aus. Zusammen mit der abgefragten PIN landen die Informationen direkt auf Servern der Angreifer.
So schleusen Kriminelle die Schadsoftware ein
Die Infektionswege sind vielfältig und perfide durchdacht:
Sideloading: Apps aus inoffiziellen Quellen statt aus dem Google Play Store. Manipulierte Webseiten tarnen sich als legitime Download-Portale.
SMiShing: SMS-Nachrichten mit bösartigen Links locken Nutzer zum Download. Die Texte wirken oft täuschend echt – angebliche Paketbenachrichtigungen oder Sicherheitswarnungen.
Tarnung als System-Tools: Die Schädlinge geben sich als Browser-Updates, Authenticator-Apps oder Sicherheits-Software aus. Nach der Installation bombardieren sie Nutzer mit Berechtigungsanfragen – besonders der Zugriff auf Bedienungshilfen ist das zentrale Einfallstor.
Diese eigentlich für Menschen mit Behinderungen konzipierte Funktion verschafft Angreifern nahezu uneingeschränkte Kontrolle: Bildschirmsperre umgehen, Eingaben aufzeichnen, andere Apps fernsteuern.
Google kämpft – aber Angreifer bleiben einen Schritt voraus
Die Entwicklung von Malware, die menschliches Verhalten imitiert, stellt Sicherheitsexperten vor neue Herausforderungen. Verhaltensbasierte Schutzsysteme verlieren ihre Wirksamkeit, wenn sich Bots nicht mehr von echten Nutzern unterscheiden lassen.
Google erweitert kontinuierlich seinen Play Protect-Dienst. Die neueste Version erkennt gezielt Apps, die Finanzanwendungen imitieren. Doch Kriminelle finden immer wieder Lücken – vor allem beim Sideloading außerhalb des offiziellen Stores.
Der Missbrauch der Bedienungshilfen bleibt das größte Einfallstor im Android-Ökosystem. Während die Funktion ursprünglich Barrierefreiheit ermöglichen sollte, dient sie Angreifern als Universalschlüssel.
Was Nutzer jetzt tun müssen
Die Bedrohungslage verschärft sich. Der “Malware-as-a-Service”-Ansatz demokratisiert Cyberkriminalität – hochentwickelte Angriffswerkzeuge werden für immer mehr Kriminelle zugänglich.
Konkrete Schutzmaßnahmen:
- Apps ausschließlich aus dem Google Play Store installieren
- Bei Berechtigungsanfragen kritisch bleiben – besonders bei Bedienungshilfen
- Betriebssystem und Apps regelmäßig aktualisieren
- Mobile Sicherheitslösungen nutzen
- Misstrauen bei SMS-Links oder unerwarteten App-Empfehlungen
Finanzinstitute stehen ebenfalls in der Pflicht. Ihre Überwachungssysteme müssen über einfache Verhaltensmuster hinausgehen und zusätzliche Sicherheitsebenen einziehen.
Die erste Verteidigungslinie bleibt der informierte Nutzer. Wer Berechtigungsanfragen hinterfragt und verdächtige Apps meidet, macht es Angreifern deutlich schwerer. In Zeiten KI-gestützter Malware ist Wachsamkeit keine Option mehr – sondern Notwendigkeit.
Anzeige: PS: Wenn Sie häufig mit dem Smartphone per Online-Banking, PayPal oder Shopping unterwegs sind, lohnt sich der Blick in einen kompakten Gratis-Guide mit Checklisten und Praxis-Tipps, wie Sie Ihr Android dauerhaft schützen. Schnell herunterladen und sofort die wichtigsten Einstellungen umsetzen. Jetzt kostenloses Android-Sicherheitspaket anfordern
