OverlayPhantom: Trojaner zielt auf Bank- und Krypto-Apps in Deutschland
02.06.2026 - 04:06:54 | boerse-global.de
Eine neue Schadsoftware namens OverlayPhantom hat es auf Nutzer von Bank- und Krypto-Apps abgesehen â auch in Deutschland. Das Sicherheitsunternehmen Cyble entdeckte den Trojaner, der seit Mai 2025 aktiv ist und bereits in zehn LĂ€ndern zugeschlagen hat. Neben den USA, Australien und GroĂbritannien zĂ€hlt auch Deutschland zu den betroffenen LĂ€ndern.
Raffinierte Tarnung und Fernsteuerung
Der Trojaner nutzt einen zweistufigen Infektionsprozess, um die Kontrolle ĂŒber MobilgerĂ€te zu ĂŒbernehmen. Die Verbreitung erfolgt ĂŒber bösartige Links, die vertrauenswĂŒrdige Apps imitieren. Die erste Schadsoftware tarnt sich als beliebte Dienste wie TikTok oder die digitale ID-Plattform ID Austria. Ist diese erst einmal installiert, schleust sie die eigentliche Malware ein â getarnt als Google Play Services, um nicht aufzufallen.
Anzeige: Der OverlayPhantom-Trojaner ist in Deutschland aktiv und zielt auf Ihre Bank- und Krypto-Apps. Erfahren Sie in unserem kostenlosen Report, wie Sie Ihr Smartphone absichern und Ihre Zugangsdaten schĂŒtzen. Jetzt Schutz-Report anfordern
Cybles Analyse zeigt: Der Trojaner missbraucht den Android Accessibility Service, um mehr als 30 Fernbefehle auszufĂŒhren. Dazu gehören das Live-Mitlesen des Bildschirms, das Einblenden gefĂ€lschter HTML-Overlays zum Stehlen von Zugangsdaten sowie der Diebstahl von PINs und Kreditkarteninformationen. Die Kommunikation lĂ€uft ĂŒber spezielle Steuerungsserver, um dauerhaft auf dem GerĂ€t prĂ€sent zu bleiben.
Malware-as-a-Service: Angriffe im Abo-Modell
Die Entdeckung von OverlayPhantom fĂ€llt in eine Zeit, in der spezialisierte Android-Bedrohungen massiv zunehmen. Der Sicherheitsanbieter ESET berichtete Ende Mai von einem SchĂ€dling namens BTMOB, der als âMalware-as-a-Serviceâ im Clear Web vermarktet wird. Angreifer können damit maĂgeschneiderte Schadsoftware bauen â fĂŒr monatlich 700 Euro oder eine lebenslange Lizenz fĂŒr 5.000 Euro.
Laut einem Bericht von SecureList ist BTMOB besonders in Brasilien und Lateinamerika aktiv. Die Verbreitung lĂ€uft ĂŒber gefĂ€lschte Google-Play-Seiten oder Phishing-Links fĂŒr Streaming-Dienste. Einmal aktiv, kann die Malware Finanztransaktionen abfangen und in Krypto-Apps wie Binance und Trust Wallet die EmpfĂ€ngeradressen austauschen.
NFC-Angriffe explodieren: 188 Prozent mehr VorfÀlle
Kaspersky veröffentlichte am 1. Juni alarmierende Zahlen: In den ersten vier Monaten 2026 blockierte das Unternehmen ĂŒber 35.600 NFC-bezogene Malware-VorfĂ€lle. Das entspricht einem Anstieg von 188 Prozent im Vergleich zu den 12.300 Angriffen im gleichen Zeitraum 2025. Die Schadsoftware-Familien SuperCard X und PhantomCard benötigen dafĂŒr die physische NĂ€he einer Zahlungskarte zu einem infizierten Smartphone.
Gezielte Angriffe auf Krypto-Wallets und Entwickler
Neben den breit angelegten Mobilbedrohungen gibt es hochgradig zielgerichtete Kampagnen. FortiGuard Labs dokumentierte eine Aktion, die die dateilose Malware PureLogs ĂŒber Phishing-Mails mit gefĂ€lschten Bestellungen verbreitet. Sie zielt auf Browserdaten und Desktop-Krypto-Wallets wie Exodus und Atomic Wallet ab.
Auch Mac-Nutzer sind betroffen: Eine gefĂ€lschte BlueWallet-Website lockt mit sozialer Manipulation. Wer darauf hereinfĂ€llt, fĂŒhrt ein AppleScript aus, das Passwörter und Krypto-Zugangsdaten aus Chromium- und Firefox-Browsern stiehlt.
In der Entwickler-Community hinterlieĂ die nordkoreanische Gruppe Famous Chollima ihre Spuren. Sie versteckte Schadcode in einem legitimen PHP-Paket auf Packagist. Ăber bösartiges JavaScript in einem Entwicklungszweig stahlen sie Umgebungsvariablen und Zugriffstoken von Entwicklern.
Finanzielle SchĂ€den: Millionenverluste trotz RĂŒckgang
Anzeige: NFC-Angriffe sind um 188 Prozent gestiegen â und OverlayPhantom nutzt genau diese LĂŒcke. Unser Report zeigt, wie Sie sich gegen die neue Malware-Welle wappnen. Sicherheits-Report jetzt sichern
Die Welle digitalen Betrugs zeigt sich auch in aktuellen Umfragen. Eine Bankrate-Studie ergab: 40 Prozent der US-Erwachsenen erlebten in den letzten zwölf Monaten Finanzbetrug â ein Anstieg von 34 Prozent im Vorjahr. Besonders besorgniserregend: der vermehrte Einsatz von KI fĂŒr Stimmklonen und Deepfake-Manipulation.
Im Kryptosektor beliefen sich die Verluste durch Exploits im Mai 2026 auf rund 68 Millionen Euro â ein deutlicher RĂŒckgang gegenĂŒber den 650 Millionen Euro im April. Code-Schwachstellen verursachten 66 Prozent dieser Verluste, wobei Cross-Chain-BrĂŒcken das Hauptziel waren. Ende Mai traf es unter anderem die Verus Protocol Bridge und THORChain.
Am 1. Juni bestĂ€tigte auch Gnosis Pay einen Modul-Exploit, der das selbstverwaltete Visa-Debitkartensystem betraf. Das Unternehmen versprach, alle Nutzerverluste zu ĂŒbernehmen â die genaue Schadenshöhe blieb offen.
