Zusammenfassung zeigen Zusammenfassung verbergen
Smartphone auf, Banking-App gestartet – und plötzlich fehlen Tausende Euro: Solche Fälle häufen sich derzeit, weil neue Android‑Schadprogramme nicht nur Daten abgreifen, sondern Geräte komplett übernehmen. Wer heute sein Konto schützen will, muss verstehen, wie diese Trojaner funktionieren und welche Rechte sie ausnutzen.
Wie diese Schadprogramme derzeit operieren
In den vergangenen Monaten haben Sicherheitsforscher eine Serie von Android‑Trojanern beobachtet, die sich bewusst als nützliche Anwendungen tarnen und so in offizielle App‑Stores gelangen. Nach der Installation fordern sie oft umfangreiche Zugriffsrechte an – insbesondere die sogenannten Accessibility-Berechtigungen – und können dann weitreichend im System handeln.
Amazon-Phishing gefährdet Kundendaten: Nutzer sollten sofort Konten prüfen
PS6, Xbox Helix: Daten zeigen höhere Kosten und Streamingzwang für Spieler
| Name | Wie sie sich tarnen | Was sie anrichten | Besonderheit |
|---|---|---|---|
| Anatsa (auch TeaBot) | Als harmlose Tools (PDF‑Reader, QR‑Scanner etc.) im Store | Legt Fake‑Loginfenster über Banking‑Apps, liest SMS/TANs, nimmt Eingaben auf | Datenexfiltration in mehrere Länder; aktiv in Europa |
| Crocodilus | Scheinbar normale Apps, fordert hohe Rechte | Fährt „Black‑Screen“-Angriffe, ermöglicht Live‑Fernsteuerung des Geräts | Übernimmt das Smartphone komplett und tätigt Überweisungen |
| Hook | Imitiert Zahlungsdienste wie Google Pay | Fängt SMS/TAN ab, umgeht 2‑Faktor‑Schutz, liest Kontakte und Dateien | Hohe Flexibilität; Daten sollen laut Analysen nach Russland gelangt sein |
Anatsa: getarnt, aber weitreichend
Anatsa gilt als einer der aktivsten Banking‑Trojaner in Europa. Die infizierten Apps erscheinen häufig harmlos und fordern nach dem Start Zugriff auf Hilfsfunktionen des Systems. Wird diese Erlaubnis erteilt, kann die Schadsoftware gespeicherte Anmeldedaten abgreifen, gefälschte Eingabemasken über legitime Bankseiten legen und eingegebene TAN‑Codes mitlesen und weiterleiten.
- Greift zahlreiche Bank‑Apps und Zahlungsdienste an
- Blendet fingierte Login‑Dialoge ein
- Kann SMS‑TANs und Push‑Benachrichtigungen auslesen
Crocodilus: wenn das Handy zur Fernsteuerung wird
Dieser Trojaner geht weiter als klassische Banking‑Malware: Nach dem Erhalt umfangreicher Rechte kann das Opferbild des Geräts verdunkelt werden, während Angreifer im Hintergrund handeln. Für Nutzer sieht das oft aus wie ein Absturz – in Wirklichkeit steuern Kriminelle das Telefon und führen Transaktionen aus.
Der typische Ablauf: Installation → Anforderung von Accessibility‑Rechten → Bildschirm wird schwarz → Fernzugriff und unbemerkte Überweisungen.
Hook: vielseitig und anpassbar
Hook fasst Funktionen vieler älterer Banker‑Trojaner zusammen, ist modular aufgebaut und besonders anpassungsfähig. Neben dem Abfangen von SMS und dem Aushebeln von Zwei‑Faktor‑Mechanismen liest er Kontaktlisten und lokale Dateien aus – alles, um Konten vollständig zu übernehmen oder Kreditkartendaten zu sammeln.
Wie die Täter organisiert sind
Hinter diesen Kampagnen stehen meist professionelle Cybercrime‑Netzwerke. Viele Trojaner werden als Dienst angeboten (»Malware‑as‑a‑Service«), sodass auch technisch weniger versierte Täter Angriffe buchen können. Die Infrastruktur ist oft verschleiert und international verteilt, Updates erscheinen regelmäßig, um Erkennungsmechanismen zu umgehen.
Warum Accessibility-Rechte so gefährlich sind
Diese Rechte sind ursprünglich für Nutzer mit Einschränkungen gedacht, öffnen aber Angreifern eine mächtige Tür. Mit ihnen lassen sich Bildschirminhalte auslesen, Eingaben mitloggen oder Actions automatisiert ausführen. Das ermöglicht Überweisungen ohne direkte Zustimmung der Geräteinhaber.
- Auslesen von Bildschirminhalten – auch Banking‑Apps
- Mitschneiden von Texteingaben wie Passwörtern, IBAN oder TAN
- Automatisches Betätigen von Buttons und Schaltflächen
- Einblenden von Overlays über legitimen Formularfeldern
Praktische Schutzmaßnahmen
Die Wahrscheinlichkeit, Opfer eines Banking‑Trojans zu werden, lässt sich deutlich reduzieren, wenn Sie einige Regeln beachten. Kurzfristig wirkt vor allem Aufmerksamkeit beim App‑Einrichten.
- Apps nur aus dem offiziellen Store installieren und den Entwickler prüfen
- Keine Accessibility-Berechtigungen erteilen, außer sie sind zwingend notwendig
- Misstrauen bei Apps, die ungewöhnlich viele Rechte verlangen
- Keine Links in SMS, Messenger‑Nachrichten oder E‑Mails öffnen, die zur App‑Installation auffordern
- Verdächtige Anwendungen sofort deinstallieren und den Bankkontakt informieren
- Betriebssystem und Apps aktuell halten; Sicherheits‑Apps regelmäßig prüfen
- Bei Verdacht auf Fernzugriff Bank und Anbieter der Kreditkarte sofort benachrichtigen und Konten sperren lassen
Wenn Ihr Gerät kompromittiert scheint, empfiehlt sich außerdem eine Sicherung wichtiger Daten, ein Besuch beim Anbieter/Support und – in ernsten Fällen – ein Zurücksetzen auf Werkseinstellungen nach Rücksprache mit Ihrer Bank. Anzeige bei zuständigen Behörden hilft, Angriffe zu verfolgen und weitere Schäden zu verhindern.












