Eine gefährliche Generation von Schadsoftware nimmt gezielt Android-Nutzer ins Visier. Die neu entdeckten Trojaner „Herodotus", „NGate" und „Fantasy Hub" stehlen nicht nur Banking-Daten, sondern ermöglichen sogar direkte Bargeldabhebungen an Geldautomaten. Was diese Malware so gefährlich macht: Sie ahmt menschliches Verhalten nach und umgeht dadurch selbst moderne Sicherheitssysteme.

Besonders alarmierend: Allein in den letzten zwölf Monaten stieg die Zahl der Android-Schädlinge um 67 Prozent. Cybersecurity-Forscher identifizierten 239 bösartige Apps im Google Play Store, die insgesamt 42 Millionen Mal heruntergeladen wurden – bevor Google sie entfernte. Die Angreifer setzen zunehmend auf Malware-as-a-Service, ein Geschäftsmodell, das selbst technisch unerfahrenen Kriminellen hochentwickelte Cyberangriffe ermöglicht.

Täuschend echt: Wie Herodotus Sicherheitssysteme überlistet

Der Herodotus-Trojaner verbreitet sich über gefälschte SMS, die scheinbar von Paketdiensten oder Banken stammen. Die Nachrichten leiten Nutzer auf nachgebaute Webseiten, die zum Download einer vermeintlichen Service-App auffordern – außerhalb des geschützten Play Stores.

Nach der Installation verlangt die Malware Zugriff auf die Bedienungshilfen des Systems. Diese normalerweise für Menschen mit Einschränkungen gedachte Funktion verschafft Herodotus nahezu vollständige Gerätekontrolle. Der Trojaner legt dann täuschend echte Login-Masken über legitime Banking-Apps und fängt sämtliche Eingaben ab.

Das eigentlich Raffinierte: Die Schadsoftware imitiert menschliches Verhalten. Zufällige Verzögerungen beim Tippen, natürlich wirkende Bildschirmbewegungen und realistische Eingabemuster machen die betrügerischen Aktivitäten praktisch nicht von echten Nutzern unterscheidbar. Anti-Betrugs-Systeme der Banken schlagen keinen Alarm, während Kriminelle in Echtzeit Überweisungen ausführen.

NGate nutzt NFC-Technik für Bargelddiebstahl

Eine noch beunruhigendere Entwicklung beschreibt das polnische Computer-Notfallteam CERT Polska: Die NGate-Malware verbindet digitalen Betrug mit physischem Diebstahl. Der Trojaner nutzt die NFC-Funktion moderner Smartphones, um kontaktlose Bankkarten zu klonen – ohne dass die Karte jemals entwendet werden muss.

Der Ablauf ist perfide durchdacht: Phishing-Nachrichten locken Opfer auf gefälschte Banking-Seiten, wo sie eine angebliche Sicherheits-App herunterladen. Diese fordert zur „Kartenverifizierung" auf – das Opfer soll seine EC- oder Kreditkarte ans Handy halten und die PIN eingeben.

In diesem Moment erfasst NGate die dynamischen Transaktionsdaten des Karten-Chips – Einmalcodes, die nur für kurze Zeit gültig sind. Diese Informationen landen sofort auf dem Server der Angreifer. Ein Komplize wartet bereits am Geldautomaten und nutzt ein kartenemulierendes Gerät, um mit den gestohlenen Daten Bargeld abzuheben. Die zeitliche Koordination zwischen digitalem Betrug und physischem Diebstahl muss dabei minutiös ablaufen.

Malware zum Mieten: Das Geschäftsmodell der Cyberkriminellen

Warum nehmen diese Angriffe so rasant zu? Der Grund liegt im Malware-as-a-Service-Modell. In russischsprachigen Foren und Telegram-Kanälen bieten Entwickler fertige Trojaner-Bausätze zum Kauf oder zur Miete an. Zwei Beispiele verdeutlichen die Dimension:

Fantasy Hub ist ein Remote-Access-Trojaner mit vollständigem Spionage-Arsenal: Live-Streaming von Audio und Video, Diebstahl von Kontakten und SMS sowie gefälschte Banking-Oberflächen zum Abgreifen von Zugangsdaten. Besonders hinterhältig: Die Malware fängt Zwei-Faktor-Authentifizierungscodes ab und leitet sie direkt an die Angreifer weiter.

DeliveryRAT tarnt sich als App für Essenslieferungen, Marktplätze oder Paketzustellung. Die MaaS-Angebote enthalten oft vollständige Dokumentationen, Bot-Verwaltungssysteme und automatisierte Build-Optionen. Technische Vorkenntnisse? Kaum noch nötig für einen professionellen Cyberangriff.

Was die Zahlen verraten

Der Report von Zscalers ThreatLabz basiert auf Daten zwischen Juni 2024 und Mai 2025 und zeichnet ein klares Bild: Die Angreifer wandeln ihre Strategie. Statt klassischen Kreditkartenbetrug fokussieren sie sich auf mobile Zahlungssysteme – durch gezielte Kombination aus Malware, Phishing und Social Engineering.

42 Millionen Downloads verseuchter Apps allein aus dem offiziellen Play Store zeigen, wie schwierig es selbst für Google bleibt, alle Bedrohungen herauszufiltern. Zwar entfernt der Konzern entdeckte Schädlinge umgehend, doch die schiere Menge demonstriert die Hartnäckigkeit der Kriminellen.

So schützen Sie sich vor den neuen Bedrohungen

Die Gefahr durch Banking-Trojaner wird weiter zunehmen – sowohl in Komplexität als auch Verbreitung. Cybersecurity-Experten empfehlen diese Schutzmaßnahmen:

Nur offizielle Quellen nutzen: Downloads ausschließlich über den Google Play Store. Misstrauen Sie Links in SMS, E-Mails oder Social Media – selbst wenn sie echt wirken.

App-Berechtigungen kritisch prüfen: Besondere Vorsicht bei Anfragen für Bedienungshilfen. Diese Erlaubnis gewährt nahezu vollständige Gerätekontrolle und wird von legitimen Apps selten benötigt.

Druck-Taktiken durchschauen: Kriminelle erzeugen künstliche Dringlichkeit. Verifizieren Sie Sicherheitswarnungen immer direkt bei Ihrer Bank – über die Ihnen bekannten offiziellen Kanäle, nicht über Links in verdächtigen Nachrichten.

Google Play Protect aktivieren: Die eingebaute Sicherheitsfunktion sollte auf jedem Android-Gerät eingeschaltet sein. Sie warnt vor potenziell schädlichen Apps.

Mobile Antiviren-Software erwägen: Renommierte Sicherheits-Apps bieten eine zusätzliche Schutzebene durch Echtzeit-Scanning bekannter Malware-Signaturen.

Die größte Schwachstelle bleibt der Mensch selbst. Kein technisches System schützt zuverlässig, wenn Nutzer leichtfertig Berechtigungen erteilen oder auf Phishing-Links klicken. Gesunde Skepsis und das Hinterfragen unerwarteter Anfragen bleiben die wirksamste Verteidigung gegen diese neue Generation von Banking-Trojanern.