Android-Sicherheit: Neue Malware-Welle bedroht Millionen Nutzer

Die Android-Sicherheitslage hat sich dramatisch verschärft. Forscher identifizieren hochkomplexe Schadsoftware, die selbst Werksresets überlebt und Banktransaktionen in Echtzeit umleitet.

Operation NoVoice: Rootkit tarnt sich in harmlosen Apps

Die Bedrohung ist tiefgreifend. Sicherheitsforscher von McAfee analysierten kürzlich die Kampagne Operation NoVoice. Dabei handelte es sich um einen ausgeklügelten Rootkit, der über mehr als 50 Apps im offiziellen Google Play Store verteilt wurde. Diese erreichten über 2,3 Millionen Installationen, bevor sie entfernt wurden. Getarnt als Systemreiniger, Bildergalerien oder Handyspiele, nutzte die Malware eine raffinierte Tarnung: Sie versteckte ihre schädliche Nutzlast in scheinbar harmlosen PNG-Bilddateien – eine Technik namens Steganographie.

Angesichts der Millionen von Infektionen über scheinbar harmlose Apps ist ein grundlegender Schutz für jedes Android-Gerät unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Nach dem Start extrahierte NoVoice den Code direkt in den Arbeitsspeicher und umging so signaturbasierte Scans. Sein Ziel? Root-Zugriff durch die Ausnutzung einer Kette von 22 verschiedenen Android-Schwachstellen. Das Brisante: Viele dieser Lücken wurden zwar zwischen 2016 und 2021 geschlossen, sind aber auf Millionen Geräten weltweit noch wirksam, die keine Sicherheitsupdates mehr erhalten.

Mit Root-Rechten kann NoVoice Code in jede geöffnete App injizieren. So erbeutet er sensible Daten von Messengern wie WhatsApp und Banking-Apps. Besonders alarmierend ist seine Widerstandsfähigkeit: Durch das Ersetzen von Systembibliotheken und das Installieren von Skripten auf der Systempartition überlebt der Schädling sogar einen kompletten Werksreset.

SparkCat & CrystalX: Infostealer und „Prankware“ im Aufwind

Parallel meldeten Analysten von Kaspersky ein Comeback des Infostealers SparkCat. Die neue Variante zielt nun auch auf iOS-Nutzer ab und stiehlt gezielt Kryptowährungs-Zugänge. Sie verfügt über verbesserte Anti-Analyse-Funktionen, die Sandbox-Umgebungen erkennen – die Malware bleibt bei Sicherheitschecks einfach inaktiv.

Ebenfalls im Umlauf ist CrystalX, ein „Malware-as-a-Service“-Angebot. Es kombiniert Datendiebstahl mit „Prankware“-Funktionen. Neben dem Ausspähen von Tastatureingaben und dem Manipulieren der Zwischenablage kann ein Fernbediener dem Opfer in Echtzeit Streiche spielen, etwa durch ungewöhnliches Geräteverhalten.

Der Markt für solche Tools floriert in Untergrundforen. Der Banking-Trojaner Mirax wird Berichten zufolge für bis zu 3.000 Euro monatlich an Kriminelle vermietet. Diese Kommerzialisierung senkt die Einstiegshürde für Cyberangriffe erheblich.

Banking-Trojaner: Der Mensch im Hintergrund leitet Überweisungen um

Die Gefahr für mobile Finanztransaktionen erreicht eine neue Stufe. Trojaner wie PixRevolution setzen auf „Human-in-the-Loop“-Angriffe, die speziell Instant-Payment-Systeme ins Visier nehmen. Statt nur Daten zu stehlen, beobachtet hier ein menschlicher oder KI-gesteuerter Operator den Bildschirm des Opfers in Echtzeit.

Startet das Opfer eine Überweisung, blendet die Malware ein gefälschtes „Warten“-Overlay ein. Im Hintergrund manipuliert der Angreifer die Empfängerangaben und leitet das Geld auf ein kontrolliertes Konto um. Diese Methode umgeht die Zwei-Faktor-Authentifizierung, da die Transaktion vom legitimen Nutzer auf seinem eigenen Gerät autorisiert wird.

Da Kriminelle zunehmend direkt auf das Online-Banking und sensible Apps wie PayPal zugreifen, wird die Sicherheit Ihrer mobilen Daten zur Existenzfrage. IT-Experten empfehlen daher diese 5 konkreten Schutzmaßnahmen, um Messenger und Bankkonten endlich wieder sicher zu nutzen. Kostenlosen Sicherheits-Ratgeber für Android herunterladen

Laut dem Banking Heist Report von Zimperium stiegen malware-getriebene Betrugstransaktionen im vergangenen Jahr um 67 Prozent. 34 aktive Banking-Malware-Familien bedrohen weltweit über 1.200 Finanzinstitute.

Industrie-Reaktion: Google Play Protect und das Problem alter Geräte

Google hat als Reaktion die Rolle von Google Play Protect verstärkt. Der Schutzmechanismus entfernt die identifizierten schädlichen Apps automatisch und blockiert Neuinstallationen. Ein Unternehmenssprecher wies darauf hin, dass die von NoVoice ausgenutzten Schwachstellen zwar bereits vor Jahren gepatcht wurden, ältere Hardware aber ein kritisches Problem bleibt.

Die aktuelle Malware-Welle markiert eine Trendwende hin zu aggressiverer Persistenz und Monetarisierung. Die Fähigkeit, einen Werksreset zu überleben, erinnert an Rootkit-Angriffe, die früher Desktop-Systeme heimsuchten. Die Integration von KI in Echtzeit-Angriffe verkürzt zudem das Zeitfenster zur Erkennung betrügerischer Transaktionen dramatisch.

Finanzinstitute investieren daher verstärkt in verhaltensbasierte Biometrie und serverseitige Betrugserkennung. Für Verbraucher bleibt die Grundregel: Sicherheitshygiene. Dazu gehören das Meiden von Dritt-App-Stores, das kritische Prüfen von App-Berechtigungen und – am wichtigsten – der Austausch von Geräten, die keine Sicherheitsupdates mehr erhalten.

Ausblick: Android 17 soll System-Integrität stärken

Der Kampf zwischen OS-Entwicklern und Malware-Autoren wird sich künftig um die Integrität der Systempartition drehen. Als Antwort auf Rootkits wie NoVoice dürften künftige Android-Versionen strengere, hardwaregestützte Boot-Prozesse implementieren.

Der Zeitplan für die nächste große Sicherheitsüberholung ist an Android 17 geknüpft. Branchenkenner erwarten verbesserte „Live“-Speicherscans, die steganographische Nutzlasten erkennen sollen, bevor sie ausgeführt werden. Bis dahin rechnen Cybersicherheitsexperten mit einem weiteren Anstieg von MaaS-Plattformen. Da Mobilgeräte zum zentralen Hub für Identität und Finanzen geworden sind, wird auch die Raffinesse der Bedrohungen weiter wachsen.

boerse | 69091585 |