Android: Malware-Welle überrollt Millionen Nutzer
Herodotus und NGate: Die neue Generation der Bankräuber
Ein gewaltiger Cybersecurity-Angriff erschüttert das Android-Ökosystem: 239 gefährliche Apps im offiziellen Play Store, 42 Millionen Downloads – und eine kritische Sicherheitslücke, die Angreifer ohne jede Nutzerinteraktion ausnutzen können. Die Bedrohungslage erreicht eine neue Dimension.
Was diese Woche ans Licht kam, dürfte selbst hartgesottene IT-Sicherheitsexperten aufhorchen lassen: Der Cybersecurity-Anbieter Zscaler dokumentiert in seinem am 5. November veröffentlichten Bericht einen Anstieg der Android-Malware um 67 Prozent im Jahresvergleich. Das wirklich Beunruhigende daran? Die Schadprogramme haben längst Googles Verteidigungslinien durchbrochen und nisten sich direkt im Play Store ein – dort, wo Nutzer eigentlich sichere Apps erwarten.
Am 6. November machten Forscher von CYFIRMA die Existenz eines neuen Android-Trojaners namens “Herodotus” publik. Diese Schadsoftware, die Elemente der berüchtigten Brokewell-Familie nutzt, wird über gefälschte SMS-Nachrichten verbreitet und zielt auf die vollständige Übernahme des Geräts ab.
Was Herodotus besonders gefährlich macht? Der Trojaner entwickelt Fähigkeiten, menschliches Verhalten nachzuahmen – etwa durch zufällige Verzögerungen beim Tippen. Damit versuchen die Cyberkriminellen, moderne biometrische und verhaltensbasierte Sicherheitsprüfungen von Banking-Apps zu umgehen. Aktuell konzentrieren sich die Kampagnen auf Italien und Brasilien, doch Experten sehen Hinweise auf eine baldige Ausweitung auf die USA, Großbritannien und die Türkei.
Anzeige: Übrigens: Wenn Sie Ihr Android vor Trojanern wie Herodotus und NGate schützen wollen, beginnen Sie mit einigen einfachen, aber effektiven Maßnahmen. Unser kostenloses Sicherheitspaket beschreibt die 5 wichtigsten Schutzmaßnahmen mit leicht verständlichen Schritt-für-Schritt-Anleitungen, um Apps, Zahlungen und persönliche Daten abzusichern. Holen Sie sich die Checkliste und setzen Sie die wichtigsten Einstellungen sofort um. Gratis-Sicherheitspaket für Ihr Android herunterladen
Einen völlig neuen Angriffsweg beschreitet die Malware “NGate”, die das polnische Computer-Notfallteam (CERT Polska) ebenfalls am 6. November analysierte. NGate nutzt die NFC-Schnittstelle des Smartphones, um während einer kontaktlosen Zahlung nicht nur Kartendaten, sondern auch die einmaligen Sicherheitscodes und die PIN abzufangen. Die gestohlenen Informationen werden in Echtzeit an Angreifer übermittelt, die damit sofort Geld an Geldautomaten abheben können.
Cyberkriminalität wird zur Massenware: Forscher von zLabs entdeckten zudem “Fantasy Hub” – einen Android-Remote-Access-Trojaner, der als komplettes Malware-as-a-Service-Paket in russischsprachigen Foren verkauft wird. Diese Kommerzialisierung senkt die Einstiegshürden für Kriminelle dramatisch und dürfte die Bedrohungslage weiter verschärfen.
Play Store unter Beschuss: 42 Millionen Downloads von Schadprogrammen
Der Zscaler ThreatLabz-Report 2025 offenbart das eigentliche Ausmaß der Infiltration. Die 239 entdeckten Schad-Apps tarnten sich häufig als harmlose Produktivitätswerkzeuge – eine Strategie, die besonders im Kontext hybrider Arbeitsmodelle verfängt. Nutzer suchen nach praktischen Tools, und genau diese Nachfrage nutzen Cyberkriminelle aus.
Die Bedrohungslandschaft hat sich merklich verschoben: Adware dominiert mittlerweile mit 69 Prozent aller Fälle und verdrängt damit die berüchtigte Joker-Malware, die auf 23 Prozent zurückfiel. Alarmierend ist auch der Anstieg bei Spyware um 220 Prozent im Jahresvergleich, getrieben durch Familien wie SpyNote und SpyLoan, die zur Überwachung und Erpressung eingesetzt werden.
Besonders gefährlich: Der Banking-Trojaner Anatsa wurde aktualisiert und kann nun Daten von über 831 Finanzinstituten stehlen. Ein neuer Remote-Access-Trojaner namens Xnotice zielt gezielt auf Arbeitssuchende in der Öl- und Gasindustrie ab – über gefälschte Jobportale werden die Opfer in die Falle gelockt.
Kritische Systemlücke: Google patcht Zero-Click-Schwachstelle
Als wäre die App-Bedrohung nicht genug, klaffte auch im Android-System selbst eine gefährliche Sicherheitslücke. Im November-2025-Security-Bulletin, veröffentlicht am 3. und 4. November, kündigte Google Patches für die kritische Schwachstelle CVE-2025-48593 an.
Was diese Lücke so brisant macht? Sie ermöglicht Remote Code Execution (RCE) ohne jegliche zusätzlichen Berechtigungen oder Nutzerinteraktion. Ein sogenannter Zero-Click-Exploit – Angreifer können stillschweigend Code ausführen, die volle Kontrolle über das Gerät erlangen, Daten stehlen, Ransomware installieren oder das Smartphone in ein Botnet einbinden.
Betroffen sind Geräte mit den Android-Versionen 13, 14, 15 und 16 – also ein erheblicher Teil der aktiven Gerätebasis. Google hat einen Patch bereitgestellt und fordert alle Nutzer auf, ihre Geräte umgehend auf das Sicherheitspatch-Level 2025-11-01 oder neuer zu aktualisieren.
Professionalisierung der mobilen Cyberkriminalität
Die Ereignisse dieser Woche zeichnen ein beunruhigendes Bild: Die Bedrohung beschränkt sich längst nicht mehr auf zwielichtige App-Stores von Drittanbietern. Stattdessen findet eine systematische Infiltration des offiziellen Play Store statt, kombiniert mit kritischen Schwachstellen im Betriebssystem-Kern.
Der Zscaler-Report identifiziert einen klaren Trend: Angreifer richten sich “dorthin, wo die Arbeit stattfindet” – auf mobile Geräte, die mittlerweile unverzichtbar für Beruf und Privatleben sind. Diese Strategie geht einher mit einer Evolution der Taktiken: Weg vom traditionellen Kartenbetrug, hin zur Ausnutzung ubiquitärer mobiler Bezahlsysteme durch hochspezialisierte Malware.
Die Kommerzialisierung durch MaaS-Angebote wie Fantasy Hub demokratisiert Cyberkriminalität und ermöglicht es auch weniger versierten Akteuren, potente Spyware einzusetzen. Gleichzeitig zeigen Entwicklungen wie Herodotus, dass Angreifer aktiv daran arbeiten, Sicherheitsmaßnahmen der nächsten Generation wie verhaltensbasierte Biometrie zu überwinden.
Was Nutzer jetzt tun sollten
Experten rechnen damit, dass Angreifer ihre Techniken zur Umgehung von Googles Sicherheitsfiltern weiter verfeinern werden. Für Google selbst bleibt die Herausforderung bestehen, sowohl System-Schwachstellen zeitnah über ein fragmentiertes Ökosystem hinweg zu patchen als auch die automatisierten und manuellen Prüfprozesse für Millionen von App-Einreichungen zu verbessern.
- Sofort updaten: Prüfen Sie umgehend, ob System-Updates verfügbar sind. Der Patch für CVE-2025-48593 ist kritisch.
- Apps kritisch prüfen: Auch im Play Store gilt: Berechtigungen genau ansehen. Misstrauen Sie Utility-Apps mit exzessiven Zugriffsrechten.
- Phishing-Wachsamkeit: Seien Sie skeptisch bei unaufgeforderten SMS oder E-Mails, die zum App-Download auffordern – der Hauptverbreitungsweg für Malware wie Herodotus.
- Mobile Security nutzen: Installieren Sie eine vertrauenswürdige Anti-Malware-Lösung für eine zusätzliche Schutzebene gegen bekannte Bedrohungen.
Kein Wunder also, dass Sicherheitsexperten von einer neuen Qualität der Bedrohung sprechen. Die Frage ist nicht mehr, ob man zum Ziel wird – sondern wann.
Anzeige: PS: Diese Woche zeigt, wie schnell Angreifer über Play Store-Infektionen und Systemlücken an sensible Daten kommen – oft reicht ein einzelnes Schlupfloch. Der kostenlose Praxis-Guide erklärt die 5 wichtigsten Schutzmaßnahmen für Android: von Update-Checks über kontrollierte App-Rechte bis zu sicheren Zahlungsgewohnheiten. Fordern Sie den Ratgeber an und schützen Sie Ihr Smartphone nachhaltig. Jetzt das kostenlose Android-Sicherheitspaket anfordern
