PXA Stealer: Malware-Angriffe steigen, Entwickler gefasst

Eine gefährliche Schadsoftware greift weltweit Finanzdaten an – und ihr mutmaßlicher Kopf ist ein Schüler. Sicherheitsforscher verzeichneten im ersten Quartal 2026 einen alarmierenden Anstieg von PXA-Stealer-Angriffen um rund 10 Prozent. Parallel dazu gelang den Behörden in Vietnam ein Schlag gegen die mutmaßlichen Entwickler.

Viele Android-Nutzer übersehen entscheidende Sicherheitsvorkehrungen, während Schadsoftware wie der PXA-Stealer gezielt Finanzdaten und Passwörter angreift. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie Ihr Smartphone, Online-Banking und Apps wie WhatsApp effektiv vor Datendieben schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Schüler programmierte globalen Datenklau

Mitten in der eskalierenden Angriffswelle meldeten vietnamesische Ermittler einen spektakulären Fahndungserfolg. In der Provinz Thanh Hoa nahmen sie zwölf Verdächtige fest. Überraschend: Der mutmaßliche Hauptentwickler der Malware ist ein Schüler der zwölften Klasse.

Der Jugendliche, in Polizeiberichten als Nguyen geführt, soll den Kerncode bereits 2024 in der elften Klasse geschrieben haben. Was als Experiment begann, entwickelte sich laut Ermittlern zu einem lukrativen Geschäftsmodell. Die Gruppe bot die Schadsoftware als "Malware-on-Demand" in Untergrundforen an. Der Schüler erhielt demnach 15 Prozent der Erlöse aus gestohlenen Daten.

So infiziert die Malware ihre Opfer

Die technische Raffinesse macht PXA Stealer so gefährlich. Die Schadsoftware basiert auf Python und tarnt sich geschickt. Sie wird häufig über Phishing-E-Mails verbreitet, die Archive wie "Pumaproject.zip" enthalten.

Ihr gefährlichster Trick ist das DLL-Sideloading. Dabei nutzen die Angreifer vertrauenswürdige, signierte Software – wie ältere Versionen des Haihaisoft PDF Readers –, um bösartige Code-Bibliotheken ins System zu schleusen. Der Hauptprozess wirkt legitim, viele Virenscanner schlagen nicht an.

Einmal aktiv, erstellt die Malware einen versteckten Ordner namens "Dots". Sie tarnt ihre Prozesse als "svchost.exe", einen Standard-Windows-Dienst. Für Laien ist die Infektion im Task-Manager kaum zu erkennen.

Telegram-Bots verkaufen Daten in Echtzeit

Die Professionalisierung der Angriffe zeigt sich in der automatisierten Datenverwertung. PXA Stealer späht gezielt Anmeldedaten für Online-Banking und private Schlüssel für Krypto-Wallets aus. Die gestohlenen Informationen landen direkt bei Telegram-Bots wie "Verymuchxbot".

Da Cyberkriminelle gestohlene Daten oft in Echtzeit über Messenger-Dienste verwerten, wird der Schutz der eigenen Privatsphäre immer kritischer. Dieser kostenlose Spezialreport führt Sie Schritt für Schritt zu einer sicheren Einrichtung Ihres Messengers, um neugierige Mitleser und Datenabgriffe zu stoppen. Telegram Startpaket kostenlos sichern

Diese Methode ermöglicht es den Tätern, die Beute in Echtzeit zu überwachen und sofort in Untergrundmärkten wie "Sherlock" zu verkaufen. Zugangsdaten werden oft binnen Minuten nach dem Diebstahl missbraucht – der Blog-Schaden für Betroffene ist dadurch enorm.

Die Malware kann Daten aus über 40 verschiedenen Browsern extrahieren, darunter Chrome, Edge und Firefox. Sie zielt auch auf Browser-Cookies und Autofill-Informationen ab, um an persönliche Konten zu gelangen.

Wie können sich Nutzer schützen?

Angesichts der Bedrohungslage raten Sicherheitsexperten zu drastischen Schutzmaßnahmen. Da PXA Stealer gezielt Browser-Passwörter ausliest, empfehlen sie dedizierte Passwort-Manager außerhalb des Browsers.

Die klassische Zwei-Faktor-Authentifizierung per SMS oder E-Mail reicht oft nicht mehr aus. Die Malware kann Session-Cookies stehlen und damit aktive Logins übernehmen. Besser sind hardwarebasierte Sicherheitsschlüssel oder App-basierte Authentifikatoren.

Für Unternehmen wird die Überwachung von DLL-Aktivitäten immer wichtiger. Zudem sollten sie Skriptsprachen wie Python auf Endgeräten einschränken, wenn sie nicht benötigt werden. Die Sensibilisierung der Mitarbeiter bleibt der wichtigste Schutz gegen die oft trickreichen Phishing-Kampagnen.

Bleibt die Bedrohung bestehen?

Die Verhaftungen in Vietnam schwächen das ursprüngliche Entwicklerteam deutlich. Die Polizei schätzt, dass das Netzwerk über 94.000 Computer infiziert hat. Doch die Bedrohung ist damit nicht gebannt.

Branchenbeobachter warnen: Andere Cyberkriminelle könnten die Lücke füllen. Das Geschäftsmodell der "Stealer-as-a-Service"-Ökonomie ist extrem profitabel. Selbst weniger versierte Täter können komplexe Schadsoftware mieten.

Die Finanzbranche reagiert mit verstärkter Kooperation beim Austausch von Bedrohungsinformationen. Bankenverbände betonen die Bedeutung der Kontenüberwachung auf ungewöhnliche Muster. Der Fall zeigt eindrücklich, wie schnell sich technische Neugier in schwerste Cyberkriminalität verwandeln kann.

boerse | 69008855 |