Vor knapp 20 Jahren tauchte eine der ersten bekannten Android-Bedrohungen aus den Tiefen der Schadprogrammwelten auf. Auch wenn „CommWarrior“ weniger zerstörerische Absichten hatte, zeigte die Malware, dass mobile Geräte ernsthafte Ziele sind. Heute sind die Angriffe von Cyberkriminellen auf Android-Smartphones deutlich kreativer, vielfältiger, professioneller und entwickeln sich rasant weiter. Vom Messenger-Klon über Toolkits für Phishing-Shops bis zum Ausnutzen trendiger Spiele: Die ESET Experten haben eine Reihe von Kampagnen aus der jüngsten Vergangenheit analysiert und zusammengefasst. Das Ziel ist es, Nutzern ein umfangreiches Lagebild über die wichtigsten Android-Bedrohungen der letzten Jahre zu geben.
Darüber gibt es am Ende des Artikels konkrete Handlungsempfehlungen, wie man sich gegen die verschiedenen Betrugsmaschen schützt. Denn auch wenn diese Schadprogramme nach ihrer Entdeckung eliminiert wurden, zeigen sie die Vorgehensweisen der Cyberkriminellen, wie sie auch in Zukunft an Geld und Daten argloser Nutzer kommen wollen.
Spion ans Telefon: Operation StrongPity
Anfang 2023 analysierten ESET Forscher eine Malware-Kampagne namens StrongPity, die eine trojanisierte Version der beliebten Android-App Telegram verbreitete. Diese wurde neu verpackt und als vermeintliche App für den Videochat-Dienst Shagle angeboten – obwohl Shagle keine offizielle App besitzt. Die gefälschte Anwendung wurde über eine nachgeahmte Website verbreitet.
Letztlich nutzten die Angreifer die Popularität von Shagle mit mehr als 2,5 Millionen Usern, um Spyware mit umfangreichen Funktionen zu verbreiten. Sie konnte Telefonate aufzeichnen sowie SMS, Anrufprotokolle, Kontaktlisten und weitere Daten stehlen. Nach Aktivierung der Barrierefreiheitsdienste erhielt die Malware zusätzlich Zugriff auf Benachrichtigungen und konnte den Datenverkehr aus 17 bekannten Apps – darunter Viber, Skype, Gmail, Messenger und Tinder – ausspähen.
Bild 1. Vergleich der legitimen Website auf der linken Seite und der Nachahmer-Website auf der rechten Seite
Die Honigfalle Transparent Tribe
Im März 2023 berichteten ESET Forscher über eine Cyberspionagekampagne, bei der CapraRAT-Backdoors über trojanisierte Messaging-Apps verbreitet wurden. Opfer wurden häufig über Romance-Scams angelockt und überzeugt, angeblich „sicherere“ Chat-Apps herunterzuladen. Nach der Installation begann CapraRAT mit dem Server der Angreifer zu kommunizieren und übermittelte Geräteinformationen, Anrufprotokolle, SMS, Kontakte, aufgezeichnete Gespräche, Umgebungsgeräusche, Screenshots und Fotos.
Bild 2. Vertriebswebsite von CapraRAT, die sich als MeetUp ausgibt
Vorsicht, Hacker liest mit
ESET entdeckte Anfang 2023 Dutzende gefälschte Telegram- und WhatsApp-Webseiten, die Nutzer mit manipulierten App-Versionen infizierten. Dabei handelte es sich häufig um sogenannte Clipper – Malware, die Inhalte aus der Zwischenablage stiehlt oder manipuliert. Einige Varianten nutzten optische Zeichenerkennung (OCR), um Text aus Screenshots zu extrahieren. Ziel war in den meisten Fällen der Diebstahl von Kryptowährungen.
Android GravityRAT tarnt sich als Messenger-App
Im Juni 2023 untersuchten ESET Forscher die Spyware Android GravityRAT. Sie wurde über manipulierte Messaging-Apps wie BingeChat und Chatico verbreitet, die auf der OMEMO-Plattform basierten. GravityRAT stahl Anrufprotokolle, Kontakte, SMS, Standortdaten und Dateien. Besonders kritisch: Die Malware konnte auf WhatsApp-Backups zugreifen und sie an Angreifer weiterleiten.
Bild 4. Vertriebswebsite der bösartigen Messaging-App BingeChat
Android-Spyware SpinOk kommt auf mehr als 421 Millionen Installationen
In der zweiten Jahreshälfte 2023 verzeichnete ESET einen Anstieg der Android-Malware um 89 Prozent – hauptsächlich durch das mobile Marketing-SDK „SpinOk“. Dieses Toolkit war in zahlreiche legitime Apps integriert, die sogar in offiziellen Stores verfügbar waren. Nach der Installation verhielt sich SpinOk wie Spyware, kommunizierte mit einem Command-and-Control-Server und stahl Daten, darunter Inhalte aus der Zwischenablage.
Bild 5: Erkennungstrend von Android/SpinOK im zweiten Halbjahr 2023, gleitender 7-Tage-Durchschnitt
Telekopye eröffnet neue Chancen für Möchtegern-Hacker
2023 stießen ESET Forscher auf den Quellcode eines Betrugs-Toolkits namens Telekopye. Es ermöglicht auch technisch unbewanderten Angreifern, Phishing-Websites und gefälschte SMS zu erstellen. Die Kriminellen nutzten Telekopye für Käufer- und Verkäuferbetrug auf Online-Marktplätzen. Sobald Opfer ihre Kartendaten auf einer nachgebauten Zahlungsseite eingaben, wurden diese gestohlen und missbraucht.
Bild 6. Generierter gefälschter Screenshot (Vorlage links, Vorlage mit Beispieltext rechts)
Kamran: Eine Nachrichten-App wird zum Spionagetool
Ende 2023 entdeckten ESET Forscher einen Watering-Hole-Angriff auf eine regionale Nachrichtenwebsite in Gilgit-Baltistan. Die dort angebotene Android-App „Hunza News“ enthielt Spyware-Funktionen und sammelte nach Erteilung von Berechtigungen sensible Benutzerdaten – darunter SMS, Kontakte, Anrufprotokolle, Standort, installierte Apps und Bilder.
Bild 7. Englische (links) und Urdu-Version (rechts) von Hunza News auf einem Mobilgerät
EvilVideo: Exploit in der Telegram-App
Im Juni 2024 tauchte ein Zero-Day-Exploit für Telegram auf, der unter dem Namen „EvilVideo“ gehandelt wurde. Über manipulierte Multimedia-Dateien konnten Angreifer Schadcode verbreiten, der sich beim Öffnen eines Chats automatisch herunterlud. Telegram schloss die Sicherheitslücke nach Kontaktaufnahme der ESET Experten umgehend.
Telegram-Spiel Hamster Kombat zieht Hacker an
Mitte 2024 nutzten Cyberkriminelle den Erfolg des Telegram-Spiels „Hamster Kombat“ aus. Eine gefälschte App enthielt die Ratel-Spyware, die Benachrichtigungen und SMS ausspähte und für betrügerische Zahlungen nutzte. Daneben kursierten gefälschte App-Store-Websites, die Nutzer auf Werbeseiten umleiteten.
Bild 8. Bösartige Zugriffsanfragen von Hamster Kombat
Phishing in PWA-Anwendungen
ESET entdeckte 2024 eine neuartige Phishing-Methode, die Progressive Web Apps (PWAs) missbraucht. Dabei wurde eine schadhafte Banking-App über WebAPK installiert – ohne dass Nutzer die Installation aus Drittquellen erlauben mussten. Opfer wurden über SMS, Sprachanrufe und Social-Media-Anzeigen auf die gefälschten Seiten gelockt.
Bild 9. Beispiel für eine bösartige Werbung, die in diesen Kampagnen verwendet wurde
NGate räumt das Konto leer
Im August 2024 deckten ESET Forscher eine Weiterentwicklung dieser PWA-Kampagnen auf: die Malware „NGate“. Sie klonte NFC-Daten von Bankkarten und ermöglichte Angreifern, Geldautomaten zu manipulieren und Bargeld abzuheben – eine neuartige und technisch anspruchsvolle Angriffsmethode.
Bild 10. NFCGate-Architektur (Quelle: github.com/nfcgate/nfcgate/wiki)
Zunächst täuschten die Cyberkriminellen den Opfern vor, sie würden mit ihrer Bank kommunizieren. Danach bewegten sie die Nutzer dazu, eine gefälschte Banking-App mit einer einzigartigen Malware herunterzuladen und zu installieren, die ESET als NGate bezeichnet. Die Malware klont mithilfe von NGate die Nahfeldkommunikationsdaten (NFC) von den Zahlungskarten der Opfer und sendet diese Daten an das Gerät eines Angreifers. Dieses Gerät war dann in der Lage, die Originalkarte zu imitieren und Geld von einem Geldautomaten abzuheben.
Nomani: Deepfake-Videos täuschen Social Media Nutzer
2024 tauchten in sozialen Medien zahlreiche Betrugsanzeigen auf, die mit „geheimen“ Investitionen, Nahrungsergänzungsmitteln oder rechtlicher Hilfe warben. Die Kriminellen nutzten Deepfake-Videos bekannter Persönlichkeiten, um Seriosität vorzutäuschen. Ziel war es, Opfer auf Phishing-Seiten zu leiten und persönliche Daten zu stehlen.
So bleiben Sie sicher
Auch wenn die meisten dieser Kampagnen abgeschlossen sind, ist eines klar: Auch in Zukunft wird es immer wieder zu ähnlichen Cyberangriffen kommen. Diese Tipps helfen dabei, nicht darauf hereinzufallen:
- Apps nur aus offiziellen Quellen installieren: Finger weg von APK-Downloads über Links/Ads. Prüfen Sie App-Publisher, Bewertungen und Berechtigungen.
- Automatische Medien-Downloads prüfen: Stellen Sie in Messengern (z. B. Telegram) das automatische Herunterladen von Medien bewusst ein.
- Misstrauen bei „Sicherheits“-Anrufen/SMS: Installieren Sie keine Apps auf Zuruf und geben Sie keine Codes heraus. Rufen Sie Ihre Bank ausschließlich über die offizielle Nummer zurück.
- Krypto & Clipboard: Vergleichen Sie Wallet-Adressen vor dem Senden nochmals visuell: Clipper manipulieren still und leise.
- Sicherheitslösung installieren: Setzen Sie auf Erkennen/Blockieren statt Hoffen. ESET Mobile Security deckt bösartige Apps, Phishing-Links, PUAs (potenziell unerwünschte Anwendungen), Ransomware, Spyware & Co. ab – selbst bei Apps aus offiziellen Stores.
Bleiben Sie mit ESET Mobile Security geschützt
ESET Mobile Security schützt Benutzer vor einer Vielzahl mobiler Bedrohungen, darunter bösartige Apps (sowohl aus Drittanbieter-Side-Loading als auch aus offiziellen App-Stores), andere Malware, versteckte Bedrohungen in Dateien, Phishing-Links und physischer Diebstahl.
ESET Mobile Security kann Folgendes blockieren:
- Trojaner, die sich als harmlose Apps tarnen
- Spyware, die heimlich Ihre Aktivitäten oder Ihren Standort überwacht
- Ransomware, die Ihre Dateien sperrt und eine Zahlung verlangt
- Adware, die Sie mit aufdringlichen Pop-ups bombardiert
- Phishing, Smishing und betrügerische Links, die Sie über Benachrichtigungen und soziale Apps erhalten und die versuchen, Ihre sensiblen Daten zu stehlen
- Potenziell unerwünschte Anwendungen (PUAs), die Ihre Privatsphäre oder Leistung beeinträchtigen können
- Und mehr …
Zahlungsschutzfunktion
Diese Funktion bietet zusätzlichen Schutz für Apps wie Google Pay oder Ihre Mobile-Banking-App. Wenn die Zahlungsschutzfunktion aktiviert ist, verhindert sie, dass bösartige Apps Inhalte Ihrer geschützten Apps lesen, ändern oder überlagern können, und trägt so dazu bei, Phishing-Versuche und Datenlecks zu verhindern.