Eine gefährliche neue Generation von Banking-Trojanern infiltriert Android-Smartphones durch täuschend echte Fake-Apps. Die im November 2025 entdeckten Malware-Familien BankBot-YNRK, DeliveryRAT und Herodotus setzen neue Maßstäbe in Sachen Raffinesse: Sie tarnen sich als Behörden-Apps oder Lieferdienste, übernehmen die komplette Kontrolle über infizierte Geräte und umgehen selbst moderne Sicherheitssysteme. Besonders brisant: Die Schadsoftware wird als Komplettpaket an Kriminelle verkauft.

Die aktuellen Angriffswellen markieren einen Wendepunkt in der mobilen Bedrohungslandschaft. Statt nur Zugangsdaten abzugreifen, zielen die Trojaner auf die vollständige Fernsteuerung der Geräte ab. Durch geschickte Social-Engineering-Tricks verleiten sie Nutzer dazu, weitreichende Berechtigungen zu erteilen – und können anschließend unbemerkt im Hintergrund agieren. Sie fangen Einmal-Passwörter ab, täuschen Banking-Apps mit gefälschten Login-Masken und führen betrügerische Transaktionen durch. Eine Herausforderung, die Nutzer wie Finanzinstitute gleichermaßen fordert.

BankBot-YNRK: Getarnt als Behörden-App

Der jüngst von der Sicherheitsfirma CYFIRMA analysierte Trojaner BankBot-YNRK demonstriert eindrucksvoll, wie professionell Cyberkriminelle mittlerweile vorgehen. Die Malware verbreitet sich über gefälschte Anwendungen, die vertrauenswürdige Regierungs- und News-Apps imitieren. Eine Variante gab sich beispielsweise als offizielle indonesische App für digitale Identitätsnachweise aus – eine Tarnung, die kaum Verdacht erregt.

Das technische Design offenbart tiefgreifendes Fachwissen: Direkt nach der Installation prüft die Schadsoftware, ob sie in einer virtuellen Umgebung läuft – einer Standardmethode von Sicherheitsforschern zur Analyse. Erkennt sie eine solche Testumgebung, stellt sie ihre Aktivität sofort ein. Auf echten Geräten hingegen überredet sie Nutzer geschickt, ihr Zugriff auf die Bedienungshilfen von Android zu gewähren.

Genau hier liegt der Schlüssel zum Erfolg: Diese eigentlich für Menschen mit Behinderungen konzipierten Systemdienste ermöglichen das Auslesen von Bildschirminhalten, das Protokollieren von Tastatureingaben und das automatische Ausfüllen von Formularen. In den Händen von Angreifern wird daraus eine mächtige Waffe zur vollständigen Geräteübernahme. Die Malware kann gefälschte Login-Bildschirme über legitime Banking-Apps legen und SMS-Nachrichten mit Zwei-Faktor-Codes abfangen.

Anzeige: Apropos Bedienungshilfen und unbemerkte Schadsoftware — viele Android-Nutzer wissen nicht, wie sie solche Zugriffe erkennen und verhindern können. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen gegen Internet-Kriminalität auf Android: von geprüften App-Quellen über Berechtigungs-Checks bis zu konkreten Schritt-für-Schritt-Anleitungen gegen Banking-Trojaner. Gratis-Sicherheitspaket für Android herunterladen

DeliveryRAT: Schadsoftware im Abo-Modell

DeliveryRAT richtet sich gezielt gegen russische Android-Nutzer und tarnt sich als App für Essenslieferungen, Online-Marktplätze oder Banking-Dienste. Laut der russischen Sicherheitsfirma F6 ist dieser Remote-Access-Trojaner seit Mitte 2024 aktiv und wurde kürzlich in aktualisierten Versionen verbreitet.

Das eigentlich Besorgniserregende ist jedoch das Geschäftsmodell dahinter: DeliveryRAT wird über einen Telegram-Bot namens „Bonvi Team" als Malware-as-a-Service (MaaS) vertrieben. Dieses Abo-Modell ermöglicht selbst technisch unerfahrenen Kriminellen, Zugang zur Infrastruktur zu erwerben. Abonnenten erhalten fertige APK-Dateien oder Links zu vorkonfigurierten Phishing-Seiten, die Opfer zum Download der Schad-App verleiten.

Ein alarmierendes Zeichen für die zunehmende Industrialisierung der Cyberkriminalität: Malware wird mittlerweile wie kommerzielle Software verpackt und verkauft. Die Einstiegshürde für komplexen Finanzbetrug sinkt dramatisch – was die rasante Verbreitung solcher Bedrohungen erklärt.

Herodotus: Wenn Malware zum Schauspieler wird

Ende Oktober 2025 identifizierten Forscher einen Trojaner, der mit einer völlig neuen Taktik operiert: Herodotus imitiert menschliches Verhalten. Die niederländische Sicherheitsfirma ThreatFabric berichtete, dass die Schadsoftware beim Tippen oder bei anderen Aktionen bewusst zufällige Verzögerungen einbaut.

Wozu dieser Aufwand? Moderne Betrugspräventionssysteme nutzen verhaltensbiometrische Analysen – sie unterscheiden echte Nutzer von automatisierten Bots anhand von Tippgeschwindigkeit und Interaktionsrhythmus. Indem Herodotus diese menschlichen Verhaltensmuster nachahmt, umgeht die Malware genau diese Abwehrmechanismen.

Wie seine „Kollegen" zielt auch Herodotus auf die komplette Geräteübernahme ab. Die Verbreitung erfolgt über SMS-Phishing, wobei die Bedienungshilfen missbraucht werden, um Bildschirminhalte zu streamen, gefälschte Login-Seiten einzublenden und SMS-Codes abzufangen. Aktive Kampagnen wurden bereits in Italien und Brasilien beobachtet – getarnt als „Safe Bank"-App beziehungsweise als Sicherheitsmodul eines Zahlungsdienstleisters. Auch Herodotus wird als MaaS angeboten, sodass die innovativen Tarnmechanismen bald einer breiten Kriminellen-Szene zur Verfügung stehen dürften.

Zwei zentrale Trends prägen die neue Bedrohungslage

Erstens: Angreifer konzentrieren sich massiv auf Verschleierungstechniken. BankBot-YNRKs Prüfung auf virtuelle Umgebungen und Herodotus' menschenähnliches Tippverhalten sind speziell darauf ausgelegt, Analyse-Tools und Sicherheitsplattformen zu überlisten. Eine strategische Neuausrichtung, die darauf abzielt, automatisierte Abwehrmechanismen auszuhebeln, bevor die eigentliche Attacke beginnt.

Zweitens: Der Missbrauch der Android-Bedienungshilfen bleibt die kritischste Schwachstelle. Diese für Menschen mit Einschränkungen entwickelten Dienste gewähren tiefgreifenden Zugriff auf die Benutzeroberfläche – und werden in den Händen bösartiger Apps zur gefährlichen Waffe. Der Erfolg dieser Kampagnen basiert auf Social Engineering: Die Nutzer werden davon überzeugt, dass die weitreichenden Berechtigungen für die Funktion der vermeintlich harmlosen App notwendig seien.

Dass diese Taktik weiterhin so erfolgreich ist, deutet auf eine anhaltende Wissenslücke bei Nutzern hinsichtlich der Risiken solcher Berechtigungen hin.

Ausblick: Die neue Normalität bei mobilen Bedrohungen

Die von diesen Trojanern demonstrierte Raffinesse dürfte künftig zum Standard bei Finanz-Malware werden. Das MaaS-Modell sorgt dafür, dass fortgeschrittene Fähigkeiten wie Verhaltens-Mimikry und vollständige Gerätekontrolle nicht länger Elite-Hackergruppen vorbehalten bleiben, sondern einem breiten Spektrum von Cyberkriminellen zugänglich sind.

Finanzinstitute sehen sich wachsendem Druck ausgesetzt, ihre Betrugspräventionssysteme über verhaltensbiometrische Analysen hinaus weiterzuentwickeln. Tiefergehende Integritätsprüfungen der Geräte und die Überwachung auf Missbrauch von Bedienungshilfen werden unverzichtbar.

Für Android-Nutzer bedeutet diese sich wandelnde Bedrohungslage: Extreme Vorsicht ist geboten. Die wichtigste Verteidigungslinie bleibt die Verhinderung der Erstinfektion. Apps sollten ausschließlich über den offiziellen Google Play Store heruntergeladen werden, unaufgefordert per SMS oder Messenger erhaltene Links sind mit Skepsis zu betrachten. Fordert eine App Zugriff auf die Bedienungshilfen an, ist höchste Wachsamkeit angebracht.

Da Malware immer geschickter darin wird, vertrauenswürdige Anwendungen zu imitieren, bleibt die Aufmerksamkeit der Nutzer die entscheidende Verteidigungslinie gegen finanzielle Verluste.

Anzeige: PS: Wenn Sie Ihr Smartphone gegen ausgeklügelte Banking-Trojaner absichern wollen, hilft ein praxisnaher Leitfaden mit klaren Checklisten und überprüfbaren Schritten. Fordern Sie jetzt das kostenlose Sicherheitspaket an und lernen Sie, wie Sie WhatsApp, Online-Banking und SMS-Codes mit einfachen Maßnahmen schützen. Jetzt kostenloses Android-Sicherheitspaket anfordern