Eine neue Banking-Schadsoftware namens "Klopatra" hat bereits über 3.000 Smartphones infiltriert und verschafft Angreifern komplette Fernsteuerung über die Geräte. Der Trojaner kann Bankkonten leeren und alle Aktivitäten des Nutzers in Echtzeit überwachen. Parallel dazu offenbarte eine weitere Untersuchung heute: Hunderte kostenlose VPN-Apps auf Android und iOS geben sensible Nutzerdaten preis. Die Entwicklung zeigt, wie verwundbar mobile Nutzer geworden sind – ausgerechnet die Tools zum Schutz werden zur Gefahr.

Die von der Sicherheitsfirma Cleafy Ende August entdeckte Malware konzentriert sich hauptsächlich auf Spanien und Italien, doch Experten warnen vor einer Ausbreitung. Was Klopatra besonders gefährlich macht: Der Trojaner nutzt kommerzielle Schutzlösungen, die normalerweise legitime Software vor Reverse Engineering bewahren.

Getarnt als harmlose Streaming-App

Klopatra tarnt sich als vermeintlich harmlose Anwendung – bevorzugt als illegale IPTV-Streaming-Dienste. Nutzer installieren die App freiwillig und gewähren dabei weitreichende Berechtigungen. Einmal aktiv, aktiviert die Malware eine versteckte VNC-Funktion (Virtual Network Computing) für die komplette Fernsteuerung.

Die Angreifer können den Bildschirm des Opfers einsehen und in Echtzeit Aktionen durchführen. Währenddessen zeigt das Smartphone dem Nutzer nur einen schwarzen Bildschirm – die perfekte Tarnung für Banking-Betrug. Der Trojaner integriert das kommerzielle Schutzpaket "Virbox", wodurch herkömmliche Sicherheitssoftware ihn kaum erkennen kann.

Anzeige: Wer Apps aus Drittquellen, IPTV-Streams oder „kostenlosen“ Tools nutzt, erhöht sein Risiko massiv. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android – ohne teure Zusatz-Apps und in einfachen Schritten, inkl. Tipps für WhatsApp, Online-Banking und PayPal. Schützen Sie jetzt Ihr Smartphone mit praxiserprobten Checks und Einstellungen. Kostenloses Android-Sicherheitspaket anfordern

VPN-Apps als Datenschleudern

Zeitgleich enthüllte eine umfassende Analyse: Hunderte kostenlose VPN-Anwendungen versagen bei ihrem Kernauftrag – dem Datenschutz. Stattdessen exponieren viele Apps aktiv Nutzerdaten durch unsichere Konfigurationen und gefährliche Berechtigungen.

Auf Android enthalten manche VPN-Pakete sogar bösartige Module, die heimlich Netzwerkanfragen versenden. Bei iOS-Varianten führen Fehlkonfigurationen zur stillen Sammlung von Standortdaten und Nutzungsprotokollen. Zimperium-Analysten fanden Dutzende Apps, die unverschlüsselte Nutzerdaten an externe Server übertragen – am sicheren VPN-Tunnel vorbei.

Anzeige: Apropos VPN-Apps und Datenlecks: Sie brauchen keine überladenen Sicherheits-Suiten, um Ihr Android wirksam abzusichern. Der kostenlose Ratgeber erklärt Schritt für Schritt die 5 Maßnahmen, die wirklich zählen – von Berechtigungen über Netzwerk-Checks bis zu sicheren App-Quellen. Ideal für Alltagsnutzer, die Banking und Shopping am Handy nutzen. Jetzt den Gratis-Ratgeber sichern

Weitere Schwachstellen bei OnePlus und Co.

Die Bedrohungslage beschränkt sich nicht auf Banking-Trojaner. Die Cybersecurity-Firma Rapid7 deckte eine Sicherheitslücke in OnePlus-Smartphones auf, die bösartigen Apps Zugriff auf SMS-Daten ermöglicht – ohne Nutzererlaubnis. OnePlus bestätigte das Problem (CVE-2025-10184) und kündigte einen Fix für Mitte Oktober an.

Parallel entdeckte ESET zwei Android-Spyware-Kampagnen: ProSpy und ToSpy täuschen beliebte Apps wie Signal und ToTok vor, um Nutzerdaten abzugreifen. Die Schadsoftware verbreitet sich über gefälschte Webseiten und nutzt das Vertrauen in bekannte Marken aus.

Paradigmenwechsel bei Cyberangriffen

Klopatra markiert einen strategischen Wandel: Angreifer setzen nicht mehr auf Masse, sondern auf präzise, koordinierte Kampagnen. Der Einsatz kommerzieller Schutzlösungen in mobiler Malware ist selten und alarmierend – ein Zeichen für hohe Investitionen der Cyberkriminellen.

Problematisch wird das durch Nutzerverhalten verstärkt: Wer Apps aus dubiosen Quellen lädt, um an Raubkopien zu gelangen, öffnet Angreifern Tür und Tor. Die massenhaften Datenlecks bei kostenlosen VPNs zeigen zusätzlich: Ausgerechnet Schutztools werden zur Schwachstelle.

Bis 2026 schärfere Regeln geplant

Google will ab Anfang 2026 alle Apps auf zertifizierten Android-Geräten nur noch von verifizierten Entwicklern zulassen. OnePlus liefert den Sicherheitspatch Mitte Oktober – doch bis dahin bleiben Nutzer verwundbar.

Klopatra zeigt mit über 40 verschiedenen Varianten seit März: Cyberkriminelle entwickeln ihre Tools rasant weiter. Nutzer sollten Apps nur aus offiziellen Stores installieren, Berechtigungen kritisch prüfen und bei "kostenlosen" Diensten skeptisch bleiben. Denn der Preis könnte höher sein als gedacht – bezahlt wird mit den eigenen Daten.