Neue Trojaner-Welle: Banking-Malware umgeht CAPTCHAs und Android-Sicherheit

Moderne Banking-Trojaner wie TCLBANKER und G700 RAT umgehen selbst aktuelle Sicherheitsvorkehrungen – und machen den Nutzer zum unfreiwilligen Komplizen.

TCLBANKER: Brasilianische Malware mit globalem Ziel

Am 8. Mai veröffentlichten Elastic Security Labs Details zu einem bisher unbekannten brasilianischen Banking-Trojaner. Die Schadsoftware mit dem Codenamen REF3076 zielt auf 59 verschiedene Plattformen ab – darunter Finanzinstitute, Fintechs und Kryptobörsen.

Angesichts der rasanten Ausbreitung gefährlicher Banking-Trojaner riskieren Smartphone-Nutzer ohne gezielten Schutz massive finanzielle Schäden. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Verteilungsmethode ist raffiniert: Die Angreifer nutzen manipulierte MSI-Installer, die sich als legitime Software tarnen. Ein signiertes KI-Programm wird missbraucht, um eine schädliche DLL-Datei per Side-Loading zu aktivieren. TCLBANKER verfügt über ein Watchdog-System, das kontinuierlich nach Analyse-Tools und Antivirensoftware sucht. Zudem verbreitet sich der Trojaner über WhatsApp Web und Microsoft Outlook selbstständig weiter.

G700 RAT: Angriff auf Android 16

Parallel dazu warnen Experten vor der rasanten Verbreitung des G700 Remote Access Trojan in Version 6.4. Die Schadsoftware wird in Untergrundforen als Abonnement angeboten – zwischen 280 Euro monatlich und rund 2.050 Euro für lebenslangen Zugriff.

Der Trojaner umgeht selbst die neuesten Sicherheitsvorkehrungen von Android 16. Er verschafft sich vollständigen Zugriff auf das Gerät, inklusive Echtzeit-Bildschirmaufzeichnung. Besonders perfide: Statt CAPTCHAs automatisiert zu lösen, setzen die Angreifer auf das „ClickFix“-Verfahren. Dem Nutzer wird ein gefälschtes CAPTCHA-Feld angezeigt. Sobald er glaubt, seine Identität zu verifizieren, führt er im Hintergrund unbewusst Befehle aus – und autorisiert damit automatische Transaktionen.

Marktweite Eskalation: 67 Prozent mehr Finanztransaktionen

Der Anstieg der Infektionszahlen spiegelt einen breiteren Trend wider. Der „Banking Heist Report 2026“ von Zimperium dokumentiert 34 aktive Malware-Familien, die es auf über 1.200 Finanz-Apps in 90 Ländern abgesehen haben. Die Zahl der durch Android-Malware gesteuerten Finanztransaktionen stieg im Vergleich zum Vorjahr um 67 Prozent.

Drei Familien – TsarBot, CopyBara und Hook – dominieren den Markt und überwachen over 60 Prozent der analysierten Banking-Apps. Moderne Trojaner stehlen nicht mehr nur Passwörter. Sie übernehmen die vollständige Kontrolle über das Gerät, fangen SMS-Einmalpasswörter ab und simulieren legitime Sitzungen. Herkömmliche Betrugserkennungssysteme bemerken davon nichts.

Google reagiert: Zero-Click-Lücke und 28 betrügerische Apps

Die Bedrohungslage wird durch neue Android-Schwachstellen verschärft. Anfang Mai veröffentlichte Google ein Sicherheitsbulletin, das eine kritische Zero-Click-Lücke (CVE-2026-0073) adressiert. Die Schwachstelle im Android Debug Bridge Daemon könnte Angreifern im selben Netzwerk Remote-Code-Ausführung ohne Nutzerinteraktion ermöglichen.

Zudem entfernte Google am 8. Mai 28 Apps aus dem Play Store. Die Programme versprachen Zugriff auf Anrufprotokolle und SMS-Verläufe, lieferten aber nur Zufallsdaten. Insgesamt verzeichneten sie über 7,3 Millionen Downloads. Die Entfernung erfolgte nach Hinweisen von ESET.

Die neue Angriffsstrategie: Der Nutzer als Komplize

Die Umgehung von CAPTCHAs markiert einen Wendepunkt. Frühere Trojaner versuchten, die Rätsel per OCR zu lösen. Die aktuelle Generation macht den Nutzer zum unfreiwilligen Komplizen. Durch den Missbrauch von Barrierefreiheitsdiensten lesen Trojaner Bildschirminhalte mit und simulieren Klicks.

Da Kriminelle Sicherheitslücken und veraltete Systeme gezielt ausnutzen, ist ein aktuelles Smartphone die wichtigste Verteidigungslinie für Ihre persönlichen Daten. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Malware dauerhaft verhindern und Ihr Android-Gerät rund um die Uhr schützen. Kostenlosen Sicherheits-Report jetzt herunterladen

Die Kommerzialisierung dieser Werkzeuge senkt die Eintrittshürden massiv. Malware-as-a-Service ermöglicht auch weniger technisch versierten Angreifern komplexe Kampagnen. Die Integration von KI-Modellen – wie beim PromptSpy-Trojaner beobachtet – zeigt, dass Angreifer die technologischen Möglichkeiten konsequent ausschöpfen.

Ausblick: 2FA per SMS gilt als unzureichend

Branchenexperten erwarten eine weitere Intensivierung des Kampfes zwischen Malware-Entwicklern und Sicherheitsanbietern. Die traditionelle Zwei-Faktor-Authentifizierung per SMS gilt aufgrund der Abfangmöglichkeiten zunehmend als unzureichend. Gefordert wird eine beschleunigte Einführung von FIDO2-Verfahren und biometrischen Verifikationsmethoden.

Banken müssen ihre Betrugserkennung auf verhaltensbasierte Analysen umstellen – und nicht nur die Identität des Nutzers, sondern auch die Integrität der Ausführungsumgebung prüfen. Verbrauchern wird empfohlen, Sicherheitsupdates zeitnah zu installieren und Sideloading kritisch zu hinterfragen. Es bleibt einer der Haupteinfallswege für mobile Trojaner.

de | wissenschaft | 69295932 |