Eine neue Generation von Banking-Trojanern bedroht Android-Nutzer: Die Schadsoftware „Herodotus" täuscht Sicherheitssysteme durch simuliertes Nutzerverhalten – und ebnet Cyberkriminellen den Weg zu Bankkonten.

Die perfekte Täuschung: Was macht diese Malware so gefährlich? Während herkömmliche Schadsoftware durch roboterhafte Aktionsabfolgen auffällt, ahmt Herodotus gezielt menschliches Verhalten nach. Zufällige Verzögerungen bei Befehlen, subtile Bildschirmbewegungen und realistische Tipp-Geschwindigkeiten – die Malware spielt Theater, um automatische Betrugserkennungssysteme auszutricksen.

Das Perfide: Der Trojaner wird als Malware-as-a-Service (MaaS) angeboten. Selbst unerfahrene Kriminelle können damit hochprofessionelle Angriffe starten. Doch Herodotus ist nicht allein. Fast zeitgleich wurde mit „Fantasy Hub" ein weiterer gefährlicher Trojaner entdeckt, der russische Banken ins Visier nimmt.

Der Weg auf das Smartphone

Die Angriffskette beginnt harmlos: Per SMS erhalten Opfer vermeintlich legitime Benachrichtigungen von Diensten oder Behörden. Diese sogenannten „Smishing"-Nachrichten enthalten Links zu gefälschten Webseiten, die Nutzer auffordern, eine Android-App (APK) außerhalb des Google Play Stores herunterzuladen.

Nach der Installation fordert Herodotus umgehend weitreichende Geräteberechtigungen an – allen voran den Zugriff auf die Android-Bedienungshilfen. Diese eigentlich für Menschen mit Behinderungen gedachte Funktion wird zum Generalschlüssel für die Malware.

Mit diesen Berechtigungen ausgestattet, startet der Trojaner seine gefährlichste Attacke: Overlay-Angriffe auf Banking-Apps. Herodotus legt täuschend echte Login-Masken über die originalen Bankanwendungen und zeichnet jede Eingabe auf. Passwörter, TANs, Kreditkartendaten – nichts bleibt verborgen.

Session-Hijacking in Echtzeit

Was folgt, ist für Betroffene besonders heimtückisch: Während sie selbst noch in ihrer Banking-App eingelogkt sind, übernehmen die Angreifer die Kontrolle. Diese Session-Takeover-Attacken ermöglichen betrügerische Transaktionen in Echtzeit – und das alles, während der rechtmäßige Nutzer noch glaubt, alles sei in Ordnung.

Die gestohlenen Zugangsdaten werden sofort monetarisiert. Die Kriminellen können Überweisungen tätigen, Konten plündern oder die Daten auf Schwarzmärkten verkaufen.

Fantasy Hub: Die russische Bedrohung

Nur drei Tage vor der Herodotus-Entdeckung, am 7. November 2025, identifizierten Sicherheitsforscher von Zimperium einen weiteren hochgefährlichen Trojaner. Fantasy Hub, ebenfalls als MaaS über russischsprachige Kriminellen-Foren vertrieben, richtet sich gezielt gegen Unternehmensumgebungen mit „Bring Your Own Device"-Richtlinien.

Die Besonderheit: Fantasy Hub missbraucht SMS-Handler-Privilegien auf besonders raffinierte Weise. Sobald Nutzer die Malware als Standard-SMS-App festlegen, erhält sie automatisch Zugriff auf Kontakte, Kamera und Dateisystem – ohne weitere Berechtigungsabfragen. Ein Tarnkappen-Manöver, das selbst vorsichtige Nutzer austrickst.

Technische Raffinesse: Der Trojaner nutzt einen nativen Dropper, der die eigentliche Schadsoftware erst zur Laufzeit entschlüsselt und ausführt. Dadurch umgeht Fantasy Hub klassische Virenscanner, die nach statischen Malware-Signaturen suchen.

Zielscheibe sind vor allem russische Finanzinstitute wie Alfa Bank, PSB, Tbank und Sber. Die spezialisierten Phishing-Funktionen zeigen: Hier geht es um maßgeschneiderte Angriffe mit hoher Erfolgsquote.

Eine neue Ära der Cyberkriminalität

Die nahezu gleichzeitige Entdeckung von Herodotus und Fantasy Hub markiert einen Wendepunkt in der mobilen Bedrohungslandschaft. Das Malware-as-a-Service-Modell demokratisiert Cyberkriminalität auf erschreckende Weise: Technisches Know-how wird überflüssig, hochkomplexe Angriffe zum Massenprodukt.

Besonders beunruhigend ist der Fokus auf Tarnung und Täuschung. Während ältere Malware durch auffällige Verhaltensmuster schnell enttarnt wurde, setzen moderne Trojaner auf aktive Verschleierung. Herodotus' menschenähnliches Verhalten und Fantasy Hubs Laufzeit-Entschlüsselung zeigen: Die Entwickler kennen die Abwehrmechanismen – und umgehen sie systematisch.

Der Missbrauch legitimer Android-Funktionen wie Bedienungshilfen und SMS-Handler bleibt dabei die bevorzugte Angriffsmethode. Google steht vor einem Dilemma: Strengere Einschränkungen würden Menschen mit Behinderungen treffen, lockere Handhabung öffnet Kriminellen Tür und Tor.

So schützen Sie sich

Mit der zunehmenden Verlagerung von Bankgeschäften auf mobile Geräte wird die Bedrohung durch Trojaner wie Herodotus und Fantasy Hub weiter zunehmen. Diese Maßnahmen senken Ihr Risiko erheblich:

Niemals Apps aus unbekannten Quellen installieren. Der Google Play Store ist kein Garant für Sicherheit, aber deutlich sicherer als APK-Downloads von Webseiten. Links in SMS, E-Mails oder Messenger-Nachrichten sollten grundsätzlich skeptisch betrachtet werden.

Berechtigungsanfragen kritisch prüfen. Fordert eine Taschenlampen-App Zugriff auf Bedienungshilfen? Will eine Spiele-App Standard-SMS-Handler werden? Solche Widersprüche zwischen Funktionalität und Berechtigungen sind Alarmsignale.

Mobile Sicherheitssoftware nutzen. Renommierte Antiviren-Lösungen für Android können bekannte Bedrohungen blockieren, bevor sie Schaden anrichten. Regelmäßige Updates sind Pflicht.

Zwei-Faktor-Authentifizierung aktivieren – aber richtig. SMS-basierte 2FA kann von Malware wie Fantasy Hub abgefangen werden. Setzen Sie auf App-basierte Authentifikatoren wie Google Authenticator oder Authy.

Für Banken und Finanzdienstleister bedeutet das Aufkommen verhaltensimitierender Malware eine Zeitenwende. Signaturbasierte Erkennungssysteme versagen gegen diese neue Generation von Trojanern. Gefragt sind KI-gestützte Anomalie-Erkennungen, die selbst subtilste Abweichungen vom normalen Nutzerverhalten identifizieren können.

Können Banken mithalten? Die Antwort entscheidet über die Sicherheit von Millionen Konten.