Eine neue Android-Malware geht weit über herkömmliche Datenklau-Methoden hinaus: Sie nutzt versteckte VNC-Server für komplette Fernsteuerung infizierter Smartphones.

Cybersecurity-Experten haben einen besonders gefährlichen Android-Trojaner entdeckt, der Banking-Nutzer ins Visier nimmt. Die erst Ende September 2025 identifizierte Malware vereint klassische Overlay-Angriffe mit einem versteckten VNC-Server, der Kriminellen vollständige Fernkontrolle über infizierte Geräte ermöglicht.

Verbreitet wird der Trojaner über Phishing-Kampagnen. Opfer werden dazu verleitet, scheinbar legitime Apps zu installieren - getarnt als Sicherheits-Tools oder Media-Player. Einmal installiert, übernimmt die Malware das komplette Gerät für Finanzbetrug.

Raffinierte Täuschung: So funktioniert der Angriff

Der Infektionsweg startet mit SMS-basierten Phishing-Kampagnen. Nutzer erhalten Nachrichten, die sie zum Download gefälschter Apps außerhalb des Google Play Store locken - etwa für vermeintliche Gerätesicherheit oder IPTV-Dienste.

Nach der Installation fordert die App hartnäckig weitreichende Berechtigungen. Unter dem Vorwand von Performance-Optimierung oder Sicherheit verlangt sie Zugriff auf Androids Bedienungshilfen und Geräteadministrator-Rechte. Laut Analyse der Cybersecurity-Firma Cleafy sind diese Berechtigungen der Schlüssel zur Macht der Malware: Sie kann Touch-Eingaben abfangen, Bildschirminhalte lesen und ihre eigene Deinstallation verhindern.

Anzeige: Apropos Berechtigungen – viele Android-Nutzer übersehen genau hier entscheidende Sicherheitshebel. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Smartphone ohne teure Zusatz-Apps gegen Phishing, Banking-Trojaner und Spyware absichern – Schritt für Schritt erklärt. Inklusive Checklisten für geprüfte Apps, Play Protect, Berechtigungen und Updates. Jetzt das kostenlose Android‑Sicherheitspaket anfordern

Doppelschlag: Von gefälschten Logins bis zur kompletten Übernahme

Die Malware verfolgt eine zweistufige Angriffsstrategie. Zunächst nutzt sie bewährte Overlay-Attacken: Öffnet ein Nutzer eine Banking- oder Kryptowährungs-App, blendet der Trojaner sofort ein gefälschtes Login-Fenster über die echte Oberfläche. Ahnungslose Opfer geben ihre Zugangsdaten in diese Fälschung ein - direkt an die Betrüger.

Das eigentlich Gefährliche ist die zweite Fähigkeit: ein verstecktes VNC-Modul. Damit können Kriminelle das infizierte Gerät in Echtzeit fernsteuern, ohne dass der Nutzer etwas bemerkt. Sie navigieren durch die Benutzeroberfläche, öffnen Apps, tippen Text und führen Gesten aus - als würden sie das Handy selbst bedienen.

Besonders perfide: Die Malware kann die Bildschirmhelligkeit auf null reduzieren und einen schwarzen Overlay anzeigen. Das Opfer glaubt, das Gerät sei ausgeschaltet, während Betrüger im Hintergrund Transaktionen durchführen - oft nachts, wenn die Opfer schlafen.

Zielgruppe Europa: Türkische Hacker im Verdacht

Die Kampagne richtet sich hauptsächlich gegen Banking-Nutzer in mehreren europäischen Ländern. Besonders viele Infektionen melden Spanien und Italien. Forscher verbinden die Malware mit einer türkischsprachigen Kriminellengruppe - basierend auf Spuren der Command-and-Control-Infrastruktur.

Seit dem ersten Auftauchen im März 2025 entdeckten Sicherheitsexperten mindestens 40 verschiedene Versionen der Malware. Das zeigt: Die Entwicklung läuft auf Hochtouren.

Für maximale Tarnung nutzt der Trojaner kommerzielle Code-Schutz-Tools wie Virbox, die Reverse-Engineering erschweren. Durch Registrierung beim Gerätestart und tiefe Verankerung in den Bedienungshilfen bleibt er auch nach Neustarts aktiv.

Google bestätigt: Keine Apps mit dieser Malware im offiziellen Play Store. Android-Nutzer sind durch Google Play Protect geschützt, das standardmäßig auf den meisten Geräten aktiviert ist.

Bedrohliche Entwicklung: Vom passiven Diebstahl zur aktiven Kontrolle

Trojaner wie dieser markieren einen gefährlichen Trend: Den Wandel von passivem Datenklau zu aktiver Gerätekontrolle. Während Overlay-Angriffe bei Android-Banking-Malware seit Jahren Standard sind, verändert die Integration nahtloser Fernzugriffs-Tools wie VNC das Spiel komplett.

Angreifer können damit Multi-Faktor-Authentifizierung umgehen, die auf SMS-Codes oder App-generierte Passwörter setzt - sie fangen diese direkt vom kompromittierten Gerät ab und nutzen sie sofort.

Diese Entwicklung reiht sich ein in andere kürzlich entdeckte Malware-Stämme wie "Datzbro", der ebenfalls Geräteübernahme-Fähigkeiten besitzt. Zudem machen Malware-as-a-Service-Plattformen in Underground-Foren diese ausgeklügelten Tools einem breiteren Kreis von Cyberkriminellen zugänglich - bereits für monatliche Abos verfügbar.

Schutz durch Vorsicht: Was Nutzer beachten sollten

Der wichtigste Schutz gegen Bedrohungen wie diese bleibt die Vorsicht. Nutzer sollten Apps nur aus vertrauenswürdigen Quellen installieren und bei weitreichenden Berechtigungsanfragen misstrauisch werden - besonders bei Zugriff auf Bedienungshilfen.

Anzeige: Wer Online-Banking, PayPal oder WhatsApp am Handy nutzt, sollte diese 5 Schutzmaßnahmen kennen. Der Gratis-Leitfaden erklärt leicht verständlich, wie Sie Betrugs-Overlays erkennen, Zugriffe einschränken und Ihr Gerät mit Bordmitteln absichern – ideal auch für Einsteiger. Holen Sie sich die Schritt-für-Schritt-Anleitungen mit praktischen Checklisten. Kostenlosen Android‑Sicherheits‑Guide herunterladen

Regelmäßige System-Updates und Sicherheits-Patches sind ebenfalls entscheidend. Denn im endlosen Katz-und-Maus-Spiel zwischen Kriminellen und Sicherheitsexperten bleibt nur eines sicher: Die Angreifer werden ihre Methoden weiter verfeinern.