Sofort löschen! Diese Android-App kann Ihre PIN und Passwörter ausspähen

Sicherheitsforscher haben eine neue Android-Malware entdeckt, die es Angreifern ermöglicht, nahezu jeden Schritt auf dem Smartphone mitzuverfolgen. Betroffen sind unter anderem PIN-Eingaben, Login-Daten und Inhalte aus Messenger- oder Banking-Apps. Besonders perfide: Die Schadsoftware nutzt mit Hugging Face eine eigentlich seriöse Entwicklerplattform, um unauffällig verteilt zu werden.

Malware tarnt sich als Sicherheits-App

Entdeckt wurde die Kampagne von Forschenden des Sicherheitsunternehmens Bitdefender. Im Mittelpunkt steht eine Android-App namens “TrustBastion”, die sich als Sicherheitslösung ausgibt. Nutzer werden über Werbeanzeigen oder Pop-ups mit der Behauptung konfrontiert, ihr Smartphone sei infiziert. Um angebliche Bedrohungen wie Phishing, Betrugs-SMS oder Malware zu entfernen, sollen sie die App installieren.

Nach außen wirkt die Anwendung harmlos. Tatsächlich handelt es sich jedoch um einen sogenannten Dropper. Das bedeutet: Die App enthält zunächst keine schädlichen Funktionen, lädt diese aber nachträglich nach.

Gefälschtes Update lädt Schadsoftware nach

Unmittelbar nach der Installation blendet “TrustBastion” ein angeblich notwendiges Update ein. Das Fenster ist optisch an offizielle Android- oder Google-Play-Dialoge angelehnt. Wer zustimmt, lädt im Hintergrund eine manipulierte APK-Datei herunter.

Der Download erfolgt dabei nicht über auffällige Server aus dem Untergrund, sondern über Hugging Face. Die Plattform ist in der Entwickler- und KI-Community weitverbreitet und genießt einen guten Ruf. Genau das nutzen die Angreifer aus: Verbindungen zu Hugging Face werden von vielen Sicherheitslösungen zunächst nicht als verdächtig eingestuft.

Missbrauch von Bedienungshilfen als Einfallstor

Nach der Installation fordert die eigentliche Schadsoftware umfangreiche Berechtigungen an. Sie gibt sich als Systemkomponente mit dem Namen “Phone Security” aus und fordert dazu auf, die Android-Bedienungshilfen zu aktivieren.

Diese Zugriffsrechte sind besonders kritisch. Sie erlauben es einer App, Bildschirminhalte mitzulesen, Eingaben zu protokollieren und andere Anwendungen zu überlagern. Damit kann die Malware nicht nur jede PIN-Eingabe oder jedes Entsperrmuster erfassen, sondern auch gefälschte Log-in-Oberflächen über echte Apps legen.

So lassen sich Zugangsdaten zu Zahlungsdiensten, Messengern oder anderen sensiblen Anwendungen abgreifen. Die erbeuteten Informationen werden anschließend an einen zentralen Steuerungsserver der Angreifer übermittelt. Von dort können auch neue Befehle oder Updates an das infizierte Gerät gesendet werden.

Ständig neue Varianten erschweren die Erkennung

Bitdefender zufolge setzen die Angreifer auf sogenannte serverseitige Polymorphie. Das bedeutet, dass in sehr kurzen Abständen neue Versionen der Schadsoftware erzeugt werden. Etwa alle 15 Minuten wird eine leicht veränderte APK-Datei hochgeladen, die zwar die gleiche Funktionalität besitzt, sich technisch aber unterscheidet.

Innerhalb eines Monats zählten die Forscher mehr als 6000 unterschiedliche Varianten. Ziel ist es, klassische signaturbasierte Virenscanner zu umgehen. Die Kampagne wechselte zudem mehrfach Namen und Icons, nachdem einzelne Softwarepakete entfernt wurden.

Was Nutzer jetzt tun sollten

Android-Nutzer sollten Apps grundsätzlich nur aus dem Google Play Store installieren und keine Anwendungen aus externen Quellen zulassen. Besonders vorsichtig sollten Sie bei Apps sein, die sich als Sicherheits- oder Schutzsoftware ausgeben und zugleich weitreichende Berechtigungen verlangen.

Misstrauen ist auch dann angebracht, wenn Downloads über bekannte Plattformen erfolgen. Eine seriöse Infrastruktur garantiert nicht, dass die dort bereitgestellten Dateien ungefährlich sind. Aktivieren Sie Bedienungshilfen nur dann, wenn Sie den Zweck der App eindeutig nachvollziehen können.

Wer eine verdächtige App installiert hat, sollte diese umgehend entfernen und das Gerät auf Schadsoftware prüfen. Im Zweifel kann auch ein Zurücksetzen auf Werkseinstellungen sinnvoll sein.

Zusätzlich sollten Sie darauf achten, Google Play Protect zu aktivieren. Zusätzlich können Sie ein Antivirusprogramm auf Ihrem Smartphone nutzen.

Android in Gefahr: Diese Apps aus offiziellem Store schleusen KI-Trojaner ein