[datensicherheit.de, 10.05.2026] Es gibt dubiose Apps, welche mit dem Versprechen beworben werden, den Anrufverlauf fremder Telefonnummern anzuzeigen, indes aber derzeit Millionen Nutzer in eine Kostenfalle locken. Sicherheitsexperten des europäischen IT-Sicherheitsherstellers ESET warnen in ihrer aktuellen Stellungnahme vor einer neuen Betrugsmasche, bei der Nutzer Geldzahlen, aber nur frei erfundene Daten erhalten. Nach Erkenntnissen von ESET wurden 28 solcher Anwendungen bereits mehr als 7,3 Millionen Mal heruntergeladen. Als Partner der „App Defense Alliance“ habe ESET Google über diese Ergebnisse informiert, woraufhin sämtliche in diesem Bericht genannten Apps aus dem „Play Store“ entfernt worden seien.

App namens „Call History of Any Number“ soll Nutzer anlocken

Solche Apps geben demnach vor, Zugriff auf Anruflisten, SMS-Verläufe oder sogar „WhatsApp“-Anrufe beliebiger Personen zu ermöglichen. Genau dies mache sie für viele Nutzer so interessant.

• Doch diese Versprechen seien technisch gar nicht umsetzbar: „Im November 2025 sind wir auf einen ,Reddit’-Beitrag gestoßen, der eine App namens ‚Call History of Any Number‘ thematisierte, die im ,Google Play Store’ verfügbar war“, berichtet der ESET-Forscher Lukáš Štefanko, welcher diesen Betrug aufgedeckt habe.

Er führt aus: „Unsere Analyse zeigte schnell, dass die angezeigten Anrufdaten vollständig erfunden sind. Die App generiert zufällige Telefonnummern und kombiniert sie mit festen Namen, Anrufzeiten und -dauern. Diese Daten sind direkt im Code hinterlegt.“

„CallPhantom“-Apps fokussieren bisher auf „Android“-Nutzer in Indien

Die „CallPhantom“-Apps richteten sich vor allem an „Android“-Nutzer in Indien sowie im Asiatisch-Pazifischen Raum (APAC). Viele Anwendungen hätten die indische Ländervorwahl +91 bereits voreingestellt und unterstützten „UPI“, ein in Indien weit verbreitetes Bezahlsystem.

• Damit die Anwendungen glaubwürdig wirken, setzten die Betreiber auf mehrere Tricks. Neben teils positiven Bewertungen im „Play Store“, um Vertrauen zu schaffen, kämen auch gezielte Täuschungsmechanismen zum Einsatz.

So zeigten einige Apps beispielsweise Benachrichtigungen im Stil eingehender Nachrichten an, welche angeblich fertige Ergebnisse ankündigten. „Wer darauf klickte, landete jedoch direkt auf einer Zahlungsseite.“

Teil der Täuschung, dass Apps kaum Berechtigungen verlangen

Auffällig sei zudem, dass diese Apps kaum Berechtigungen verlangten. Für viele Nutzer wirke dies seriös – tatsächlich sei es Teil der Täuschung, da die Anwendungen gar keinen Zugriff auf echte Daten benötigten.

• Bei der Untersuchung habe ESET feststellen können, dass drei unterschiedliche Bezahlmethoden zum Einsatz kämen. Zwei davon verstießen gegen die Zahlungsrichtlinien von „Google Play“.

Einige Apps nutzten Abonnements über das offizielle Abrechnungssystem von Google. Andere setzten auf Drittanbieter-Zahlungen. Teilweise seien Kreditkartenformulare direkt in die Apps integriert.

Für 28 von ESET identifizierte Apps wurden Abonnements nach Entfernung aus dem „Play Store“ beendet

Die geforderten Preise variierten stark. Angeboten würden unter anderem Wochen-, Monats- oder Jahresabonnements. Der höchste festgestellte Preis habe bei 80 US‑Dollar gelegen – die günstigste Abonnementstufe koste im Durchschnitt etwa fünf Euro.

• Abonnements, welche über das offizielle „Google Play“-Abrechnungssystem abgeschlossen wurden, ließen sich grundsätzlich kündigen. Für die 28 von ESET beschriebenen Apps seien bestehende Abonnements nach deren Entfernung aus dem „Play Store“ beendet worden. In einigen Fällen seien zudem Rückerstattungen über Google möglich.

Erfolgte die Zahlung jedoch außerhalb von „Google Play“ – etwa durch die Eingabe von Kreditkartendaten in der App oder über Drittanbieter – könne Google weder das Abonnement kündigen noch eine Rückerstattung veranlassen. Betroffene müssten sich in diesen Fällen direkt an ihren Zahlungsdienstleister wenden.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT, Lukas Stefanko, 07.05.2026
Gefälschte Anrufprotokolle, echte Zahlungen: Wie CallPhantom Android-Nutzer austrickst / ESET-Forscher haben auf Google Play betrügerische Apps entdeckt, die angeblich den Anrufverlauf „jeder beliebigen Nummer“ liefern können. Millionen Nutzer zahlten dafür und bekamen am Ende nur erfundene Daten.

welivesecurity by eseT
Lukas Stefanko / Malware Researcher

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.09.2022
Kaspersky identifiziert schädliche Kampagne im Google Play Store / Trojaner Harly imitierte laut Kaspersky über 190 legitime Apps und abonnierte Nutzer für kostenpflichtige Dienste

datensicherheit.de, 08.09.2021
Malwarebytes-Warnung: Spionage und Stalking über Google Play Store / Malwarebytes-Sicherheitsexperte Pieter Arntz entdeckte per Zufall potenziell bedrohliche Überwachungsmöglichkeit

[datensicherheit.de, 07.04.2026] Kaspersky hat in einer Mitteilung zu Ostern 2026 gewarnt, dass sich demnach eine neue Variante der „SparkCat“-Malware verbreitet – und zwar über legitime Apps wie Messenger und Lieferdienste in „Google Play“ und im „App Store“. Somit stelle diese eine Bedrohung für Smartphone-Nutzer dar. Diese Schadsoftware könne heimlich auf Fotos zugreifen und sie nach sensiblen Informationen wie Zugangsdaten zu „Krypto-Wallets“ durchsuchen. Dabei scheinen die Angreifer laut Kaspersky regional unterschiedliche Taktiken anzuwenden: Während die „Android“-Version Nutzer in Asien ins Visier nehme, könne die „iOS“-Variante weltweit aktiv werden.

Neue Version von „SparkCat“ über legitime, aber kompromittierte Apps verbreitet

Die neue Version von „SparkCat“ werde über legitime, aber kompromittierte Apps verbreitet, darunter Messenger für die Unternehmenskommunikation sowie eine Essensliefer-App.

• „Die Kaspersky-Experten identifizierten davon zwei infizierte Apps im ,App Store’ sowie eine im ,Google Play’.“

Des Weiteren seien diese Apps über Drittanbieter-Webseiten verbreitet worden. Einige davon imitierten den „App Store“, sofern sie von einem „iPhone“ aus aufgerufen werden.

Aktualisierte „Android“-Variante des Trojaners durchsucht Bildergalerien

Die aktualisierte „Android“-Variante des Trojaners durchsuche die Bildergalerien kompromittierter Geräte nach Screenshots mit bestimmten Schlüsselwörtern in japanischer, koreanischer und chinesischer Sprache. Kaspersky-Experten gingen daher davon aus, dass sich die Kampagne primär gegen „Krypto-Währungs“-Nutzer in Asien richtet.

• Die „iOS“-Variante hingegen suche nach englischsprachigen „Mnemonics“ von „Krypto-Wallets“. Dadurch ergebe sich ein potenziell deutlich größeres Zielgebiet, da Nutzer weltweit – unabhängig von ihrer Region – betroffen sein könnten.

Im Vergleich zu früheren Versionen von „SparkCat“ verfüge die aktuelle „Android“-Variante über mehrere zusätzliche Verschleierungsebenen, darunter Code-Virtualisierung und den Einsatz plattformübergreifender Programmiersprachen. Solche Techniken seien bei mobiler Malware bislang eher selten dokumentiert worden.

Schadcode inzwischen aus allen drei Apps entfernt

Kaspersky hat nach eigenen Angaben die identifizierten schädlichen Anwendungen an Google und Apple gemeldet. Der Schadcode sei inzwischen aus allen drei Apps entfernt worden.

• „Die aktualisierte Variante von ,SparkCat’ fordert in bestimmten Szenarien Zugriff auf die Fotos in der Smartphone-Galerie des Nutzers, ähnlich wie bereits die erste Version des Trojaners“, erläutert Sergey Puzan, Cybersicherheitsexperte bei Kaspersky.

Anschließend analysiere diese mithilfe eines OCR-Moduls den Text in den gespeicherten Bildern. „Erkennt die Schadsoftware relevante Schlüsselwörter, wird das entsprechende Bild an die Angreifer übermittelt.“

Angreifer steigern Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen offizieller App-Stores zu umgehen

Puzan führt weiter aus: „Aufgrund der starken Ähnlichkeiten gehen wir davon aus, dass hinter beiden Versionen dieselben Entwickler stehen. Diese Kampagne verdeutlicht einmal mehr, wie wichtig Sicherheitslösungen für Smartphones sind, um sich vor vielfältigen Cyberbedrohungen zu schützen!“

• Dmitry Kalinin, Cybersicherheitsexperte bei Kaspersky, bemerkt ergänzend: „,SparkCat’ stellt eine sich kontinuierlich weiterentwickelnde Bedrohung für mobile Geräte dar.“ Die Angreifer erhöhten die Komplexität ihrer Anti-Analyse-Techniken, um Prüfmechanismen der offiziellen App-Stores zu umgehen.

Zudem seien Methoden wie Code-Virtualisierung und der Einsatz plattformübergreifender Programmiersprachen für mobile Malware ungewöhnlich und sprächen für ein „hohes technisches Niveau der Angreifer“.

Infizierte Apps ollten umgehend vom Gerät entfernt werden

Kaspersky-Produkte sollen die neue „SparkCat“-Version unter „HEUR:Trojan.AndroidOS.SparkCat.“ und „HEUR:Trojan.IphoneOS.SparkCat.“ erkennen.

Kaspersky-Tipps zum Schutz vor „SparkCat“:

• Die infizierte App umgehend vom Gerät entfernen und nicht mehr verwenden!
• Keine Screenshots mit sensiblen Informationen, einschließlich Wiederherstellungsphrasen für „Krypto-Wallets“ erstellen und speichern!
• App-Berechtigungen stets überprüfen – bittet eine App um Erlaubnis, auf die Fotobibliothek des Geräts zuzugreifen, sollte geprüft werden, ob der Zugriff wirklich erforderlich ist!
• Passwörter wie auch Wiederherstellungsphrasen für „Krypto-Wallets“ in dedizierten Passwort Managern (wie z.B. „Kaspersky Password Manager“) speichern!
• Alle Geräte mit einer robusten mobilen Sicherheitssoftware (wie z.B. „Kaspersky Premium“) schützen!

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

kaspersky, Dmitry Kalinin & Sergey Puzan, 07.02.2025
Take my money: OCR crypto stealers in Google Play and App Store

datensicherheit.de, 21.03.2026
Zimperium warnt vor neuer Banking-Malware-Welle: 1.243 Apps kompromittiert / Zimperium-Sicherheitsforscher stufen aufgedeckte cyberkriminelle Aktivitäten als Bestandteil ausgeklügelter und skalierbarer Kampagnen ein

datensicherheit.de, 31.01.2026
Spionagewerkzeug GhostChat: Gefälschte Dating-App als Köder / Aktuelle, von ESET entdeckte „GhostChat“-App-Kampagne zeigt, wie wirksam soziale Manipulation ist

[datensicherheit.de, 21.03.2026] Zimperiums aktueller Sicherheitsreport über Mobile-Banking hat demnach 34 Malware-Familien identifiziert, welche 1.243 Apps für Bank-, Finanz- und „Kryptogeld“-Geschäfte in 90 Ländern kompromittieren – diese neue Sicherheitsstudie zeige, dass Mobile-Banking-Apps die größte Gefahr für Finanzbetrug seien. So verbreite sich in Deutschland die neue Schadsoftware „Crocodilus“ besonders schnell – dieser „Android“-Banking-Trojaner habe sich auf die Geräteübernahme, Raub von Bankdaten und den Diebstahl von „Kryptowährungen“ spezialisiert.

Abbildung: Zimperium

„2026 Banking Heist Report“: Dokumentation einer gewachsenen Bedrohungslandschaft, welche klassische Verteidigungsmechanismen grundlegend aushebelt

Bedrohungsakteure entwickeln Angriffskampagnen kontinuierlich weiter

Im Laufe des Jahres 2025 habe das „zLabs“-Team von Zimperium 34 aktive Malware-Familien identifiziert, welche mobile Anwendungen von 1.243 Finanzinstitute in 90 Ländern gefährdeten.

• Die Zahl der mit „Android“-Malware gesteuerten Finanztransaktionen sei im Jahresvergleich um 67 Prozent gestiegen. Zimperium-Sicherheitsforscher sehen darin „keine isolierten Vorfälle“, sondern stufen solche Aktivitäten als „Bestandteil ausgeklügelter und skalierbarer Kampagnen“ ein.

Bedrohungsakteure entwickelten ihre Angriffskampagnen kontinuierlich weiter, um App-Sicherheitskontrollen zu umgehen und betroffene Organisationen sowie ihre Kunden zu schädigen.

Zentrale Ergebnisse der aktuellen Zimperium-Studie im Überblick:

• In Deutschland seien insgesamt 48 Malware-Familien aufgespürt worden – die Malware-Familie „Crocodilus“ stelle dabei eine neue Gefahr dar. Diese mobile Schadsoftware nutze „Blackout“-Modi, welche „Android“-Mobilgeräte im ausgeschalteten Zustand anzeigten, während tatsächlich heimlich Geldüberweisungen durchgeführt würden.
• Die meisten Mobilangriffe in Europa erfolgten über ausgeklügelte 2FA-Bypass-Tools wie „Teabot“ und „Godfather“.
• Hauptangriffsziel seien die USA: Dort gebe es weltweit die meisten attackierten Finanz-Apps – mittlerweile würden 162 Banking- und Fintech-Apps ins Visier genommen.
• „TsarBot“, „CopyBara“ und „Hook“: Diese drei Malware-Familien zusammen visierten mehr als 60 Prozent der weltweit untersuchten Banking- und Fintech-Apps an.
• Nach dem Betrug ist vor der Erpressung: In jedem zweiten Fall verfügten die analysierten Malware-Familien auch über Möglichkeiten zur finanziellen Erpressung – beispielsweise mit Ransomware-Funktionen zur Verschlüsselung aller Daten eines infizierten Endgeräts.

Foto: Zimperium

Krishna Vishnubhotla: KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war

Weiterentwicklung der Mobile-Banking-Malware kann zu vollständiger Kontrolle über mobile Gerät führen

Der nun vorliegende „2026 Banking Heist Report“ dokumentiert laut Zimperium „eine gewachsene Bedrohungslandschaft, die klassische Verteidigungsmechanismen grundlegend aushebelt“. Die Ergebnisse verdeutlichten, dass Betrug nicht erst auf dem Server, sondern bereits auf mobilen Endgeräten beginne. Finanzinstitute könnten skalierbare Betrugsversuche verhindern und gesetzliche Sicherheitsregularien einhalten, „indem sie Mobil-Apps gegen ,Reverse Engineering’ härten, die Laufzeit-Integrität sicherstellen und Geräterisiken analysieren“.

• „KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war. Die enorme Weiterentwicklung von Mobile-Banking-Malware bedeutet, dass nicht nur Passwörter gestohlen, sondern die vollständige Kontrolle über ein Gerät erreicht werden kann“, erläutert Krishna Vishnubhotla, „Vice President of Product Strategy“ bei Zimperium.

Abschließend gibt er warnend zu bedenken: „Moderne Banktrojaner fangen Authentifizierungscodes und Telefonate ab und verbergen sich vor Sicherheitssystemen. Sie täuschen legitime Online-Banking-Verbindungen vor, die weder auf Kunden- noch Bankseite verdächtig wirken. Wird der Betrug entdeckt, ist es bereits zu spät!“

Weitere Informationen zum Thema:

Zimperium
The World Leader in Mobile Device & Application Security

ZIMPERIUM
Krishna Vishnubhotla / Mobile App Security Expert

Zimperium
2026 Mobile Banking Heist Report

datensicherheit.de, 29.11.2025
Sturnus: Android-Banking-Trojaner eine weitere gefährliche Eskalation beim Mobil-Betrug / „Sturnus“ führt vor Augen, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützt – aber kein kompromittiertes Gerät

datensicherheit.de, 28.09.2023
Zanubis: Banking-Trojaner tarnt sich laut Kaspersky-Warnung als legitime App / Kaspersky deckt neue Bedrohungen gegen Krypto-Wallets auf

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 27.02.2026] Laut einer aktuellen Meldung der Universität Paderborn ist es dort vor rund drei Jahren eigenen Wissenschaftlern gelungen, mit „SootUp“  eine wegweisende Neuerung zu „Soot“, dem bislang weltweit führenden Framework zur Analyse und Transformation von „Java“- und „Android“-Anwendungen, zu entwickeln. Demnach soll nun der nächste große Schritt erfolgen: Forscher am „Heinz Nixdorf Institut“ (HNI) der Universität Paderborn realisieren unter der Leitung der Fachgruppe „Secure Software Engineering“ von Prof. Dr. Eric Bodden das Projekt „CoSA“ und erweitern „SootUp“ darüber um wichtige Funktionen – mit dem erklärte Ziel: Nutzer sollten künftig „SootUp“ als neues Standard-Framework für die Programmanalyse von „Java“ und „Android“ anwenden können. Dieses Vorhaben wird von der Deutschen Forschungsgemeinschaft (DFG) über einen Zeitraum von drei Jahren mit rund 1,2 Millionen Euro gefördert. „Das Fraunhofer-Institut für Entwurfstechnik Mechatronik [] (IEM) ist Projektpartner, assoziierter Partner ist das Fraunhofer-Institut für Sichere Informationstechnologie (SIT).“

„SootUp“ präsentiert eine völlig neugestaltete, modulare Variante des Vorgängers „Soot“

In der Softwareentwicklung versteht man unter einem sogenannten Framework einen „Entwicklungsrahmen“, welcher Programmierern zur Verfügung steht, um die Basisarchitektur und -funktionalität einer Software bereitzustellen.

• „Soot“ habe sich in mehr als 20 Jahren zu einem leistungsstarken Framework entwickelt, jedoch sowohl Forscher als auch Anwender wegen technischer Mängel und Komplexitätsproblemen vor Herausforderungen gestellt.

Um diese Hindernisse zu beseitigen, sei dann „SootUp“ entwickelt worden. Als Nachfolger präsentiere dieser eine völlig neugestaltete, modulare Variante und sei im Rahmen des DFG-Sonderprogramms „Nachhaltigkeit von Forschungssoftware“ entstanden.

Aktuell fehlen noch Funktionen, auf welche langjährige „Soot“-Nutzer angewiesen sind

Die Zahl der Nutzer sei stetig gewachsen, denn dieses neue Framework sei dank einer modernisierten Architektur einfacher zu verwenden, zu testen und zu warten. Dennoch sei „SootUp“ eben noch nicht etabliert. Der Grund dafür sei, dass aktuell noch soclhe Funktionen fehlten, auf welche die langjährigen „Soot“-Nutzer jedoch unbedingt angewiesen seien.

• Im Rahmen des Projektes „CoSA“ möchten die Wissenschaftler diese wichtigen, aber noch nicht implementierten Funktionen nun hinzufügen, damit eben „Soot“ schrittweise auslaufen könne.

So wäre es dann auch möglich, die Wartungsressourcen künftig auf „SootUp“ zu konzentrieren und dessen weitere Verfügbarkeit sowie Wartung nachhaltig zu gewährleisten.

„CoSA“-Projekt soll „SootUp“ um jene Funktionen erweitern, welche Nutzer am dringendsten benötigen

Die zentralen Projektziele umfassten u.a. die Generierung von „Java“- und „Android“-Bytecode, um nicht nur die Analyse, sondern auch die Transformation von Anwendungen zu ermöglichen, sowie die Migrationsunterstützung von „Soot“ hin zu „SootUp“, um bisherige „Soot“-Nutzer auch bei der Aktualisierung ihrer Projekte zu begleiten.

• Zudem werden Lernmaterialien und Tutorials bereitgestellt. Laut Professor Bodden ist es Ziel des „CoSA“-Projekts, „SootUp“ um jene Funktionen zu erweitern, welche die Nutzer am dringendsten benötigen. So könnten sie darüber die Akzeptanz des Frameworks erhöhen und die Anwender gezielt unterstützen.

Kadiray Karakaya, Leiter der Entwicklung von „SootUp“ an der Universität Paderborn, fügt abschließend hinzu: „Die Entwicklung eines Nachfolgers für ein so beliebtes Framework ist in vielerlei Hinsicht eine Herausforderung. Wir müssen Korrektheit, hohe Qualität und eine vergleichbare Leistung sicherstellen, um die breite ,Community’ langfristig zu überzeugen. So können wir ,SootUp‘ für die moderne Programmanalyse etablieren.“

Weitere Informationen zum Thema:

UNIVERSITÄT PADERBORN
Universität Paderborn

SootUp
What’s SootUp?

Soot
Soot – A framework for analyzing and transforming Java and Android applications

HEINZ NIXDORF INSTITUT UNIVERSITÄT PADERBORN
Willkommen am Heinz Nixdorf Institut: Wir sind ein interdisziplinäres Forschungsinstitut. Unser Forschungsschwerpunkt sind intelligente technische Systeme. Wir entwerfen Konzeptionen für intelligente technische Systeme, die anpassungsfähig, robust und benutzungsfreundlich sind und vorausschauend handeln. Das erfordert neue Herangehensweisen, Methoden und Techniken, die wir liefern.

UNIVERSITÄT PADERBORN
Prof. Dr. Eric Bodden

UNIVERSITÄT PADERBORN
Kadiray Karakaya – Secure Software Engineering / Heinz Nixdorf Institut, Mitglied – Wissenschaftlicher Mitarbeiter

Fraunhofer IEM Fraunhofer-Institut für Entwurfstechnik Mechatronik
Wir gestalten das Engineering der Zukunft

Fraunhofer SIT
Institutsprofil

[datensicherheit.de, 20.02.2026] Laut einer aktuellen Warnung von ESET haben Cyberkriminelle eine technologische Schwelle überschritten: Erstmals nutze eine „Android“-Malware Generative Künstliche Intelligenz (GenKI) im laufenden Betrieb, um sich auf infizierten Smartphones einzunisten und sie unter ihre Kontrolle zu bringen. ESET-Forscher haben demnach eine neue „Android“-Schadsoftware entdeckt, welche „Google Gemini“ einsetze, um sich selbst vor dem Schließen zu schützen und dauerhaft auf dem Gerät aktiv zu bleiben.

Nach der Installation nahezu vollständige Übernahme des Smartphones

Diese Schadsoftware mit dem Namen „PromptSpy“ tarne sich als Banking-App „MorganArg“ (eine Fälschung der „Chase/JPMorgan“-App) und werde über gefälschte Webseiten verbreitet.

• Bisher habe sich diese Kampagne primär gegen Nutzer in Argentinien gerichtet – die Technik sei jedoch global nutzbar.

„Nach der Installation übernimmt sie das Gerät nahezu vollständig. Angreifer können den Bildschirm live mitverfolgen, Eingaben auslesen, den Sperrcode abfangen und Aktionen durchführen, als hielten sie das Smartphone selbst in der Hand.“

KI analysiert den Smartphone-Bildschirm wie ein Mensch

Neu sei vor allem die Art, wie sich die Schadsoftware im System festsetzt: Statt mit starren Befehlen zu arbeiten, übergebe sie den aktuellen Bildschirminhalt an Googles KI-Modell „Gemini“.

• Dieses analysiere die Oberfläche und liefere Schritt für Schritt Anweisungen, welche Schaltfläche gedrückt werden müsse, damit diese App nicht geschlossen werden kann. Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun muss“, erläutert Lukáš Štefanko von „ESET Research“.

Er führt weiter aus: „Damit funktioniert sie auf nahezu jedem Gerät, unabhängig von Hersteller oder ,Android’-Version. Das macht sie besonders anpassungsfähig.“ Nach der Entdeckung der KI-gestützten Ransomware „PromptLock“ im August 2025 sei dies bereits der zweite Fall, in dem Angreifer GenKI so tief in den Schadcode integrierten, um technische Hürden zu überwinden.

App installiert Fernsteuerungsmodul für Komplettzugriff auf das Smartphone

Ist die App einmal aktiv, installiere sie ein Fernsteuerungsmodul. Kriminelle könnten dann den Bildschirm sehen, Nachrichten lesen, Apps öffnen, Überweisungen auslösen oder Passwörter abgreifen.

• Selbst ein Entfernen werde erschwert, weil unsichtbare Elemente bestimmte Schaltflächen blockierten.

„Wir sehen hier eine neue Qualität von ,Android’-Schadsoftware“, so Štefanko. KI werde nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um Schutzmechanismen zu umgehen. Hinweise deuteten darauf hin, dass die Entwickler in einem chinesischsprachigen Umfeld arbeiteten. In den offiziellen App-Stores sei diese Anwendung nicht verfügbar.

ESET-Tipps zum Schutz für Smartphone-Nutzer

Es sei nach wie vor elementar wichtig, Apps ausschließlich aus offiziellen Quellen wie „Google Play“ zu installieren und keine Anwendungen von unbekannten Webseiten herunterzuladen.

• Besonders misstrauisch sollten Nutzer werden, wenn eine App zusätzliche Berechtigungen für Bedienungshilfen verlangt. Diese sogenannten „Accessibility“-Funktionen erlaubten weitreichenden Zugriff auf das Gerät und würden von Schadsoftware häufig missbraucht.

Auch regelmäßige System-Updates reduzierten das Risiko erheblich. Wer den Verdacht hat, dass sein Gerät kompromittiert wurde, sollte es im abgesicherten Modus neu starten. In diesem Zustand ließen sich schädliche – dann nicht aktive – Anwendungen meist entfernen. „Android“-Geräte mit aktiviertem „Google Play Protect“ seien gegen bekannte Versionen dieser Schadsoftware geschützt.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Lukas Stefanko – Malware Researche

welivesecurity by eseT, ESET Research, Lukas Stefanko, 19.02.2026
PromptSpy läutet mit GenAI die Ära der Android-Bedrohungen ein / ESET-Forscher entdecken PromptSpy, die erste bekannte Android-Malware, die generative KI in ihrem Ausführungsablauf nutzt.

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones / G DATA Security Evangelist Tim Berghoff ordnet Sicherheitslücke ein / Nutzer sollten umgehend ein Update für die Chat-Software Whatsapp einspielen / Betroffen sind Menschenrechtsanwälte und Dissidenten.

datensicherheit.de, 28.05.2014
Feindliche Übernahme von Apple Geräten / Symantec informiert und gibt Tipps zur Prävention

[datensicherheit.de, 31.01.2026] Nicht nur im Vorfeld des diesjährigen Valentinstags am 14. Februar 2026 muss immer wieder davor gewarnt werden, dass Online-Dating ein beliebtes „Jagdgebiet für Cyberkriminelle“ darstellt – ESET-Sicherheitsforscher haben jedenfalls einen digitalen Liebesbetrug in Pakistan aufgedeckt, welcher in dieser Form völlig neu sein soll: Hacker setzten eine manipulierte „Android“-App als Köder ein, um arglose Nutzer auszuspionieren. Diese Schadsoftware tarne sich als „Dating“-App und greife sensible Daten von infizierten Mobilgeräten ab. „Unter der romantischen Fassade besteht der eigentliche Zweck der App darin, die Daten der Opfer auszuspionieren. Der raffinierte Datendiebstahl beginnt direkt nach der Installation und setzt sich fort, solange die App auf dem Gerät aktiv ist“, so der ESET-Forscher Lukas Stefanko, welcher diese Kampagne untersucht hat.

Romance-Scam via „Dating“-App als Einfallstor für Überwachung

Im Zentrum dieser Kampagne stehe eine „Android“-Spyware mit dem Namen „GhostChat“. Diese App sei nie im „Google Play Store“ verfügbar gewesen, sondern habe manuell aus Drittquellen installiert werden müssen.

• Optisch gebe sie sich als harmlose Chat-Plattform aus, tatsächlich diene sie jedoch ausschließlich der verdeckten Überwachung.

Bereits beim Start beginne „GhostChat“ im Hintergrund mit der Datenerfassung und übertrage unter anderem Gerätekennungen, Kontaktlisten sowie Dateien wie Bilder und Dokumente an einen Kommando- und Kontrollserver.

Exklusivität als psychologischer Hebel: App zeigt Opfern angeblich gesperrte weibliche Profile

Auffällig sei der gezielte psychologische Ansatz der Angreifer: „Innerhalb der App werden den Opfern angeblich gesperrte weibliche Profile angezeigt, die erst nach Eingabe spezieller Zugangscodes freigeschaltet werden können. Diese Codes sind jedoch fest im Programmcode hinterlegt und dienen ausschließlich dazu, den Eindruck von Exklusivität zu erzeugen.“

• Nach der Freischaltung leite die App die Nutzer zu „WhatsApp“ weiter. Dort beginne die Kommunikation mit den hinterlegten pakistanischen Telefonnummern. Anstelle der Angebeteten befänden sich hinter den Nummern aber die Angreifer selbst.

„Diese Schadsoftware täuscht auf eine Weise, die wir noch nie gesehen haben“, kommentiert Stefanko. Er führt weiter aus: „Die Kombination aus vorgetäuschter Verknappung und lokal wirkenden Kontakten erhöht gezielt die Glaubwürdigkeit der Masche und senkt die Hemmschwelle der Betroffenen.“

„GhostChat“-App als Teil einer größeren Spionageoperation

Die Untersuchungen zeigten zudem, dass „GhostChat“ nur ein Bestandteil einer umfassenderen Überwachungskampagne sei. Dieselbe Infrastruktur sei auch für Angriffe auf „Windows“-Rechner genutzt worden: „Hierbei verleiteten die Cyberkriminellen ihre Opfer dazu, über gefälschte Webseiten angeblicher pakistanischer Behörden selbst Schadcode auszuführen.“

• Diese Kombination aus „Social Engineering“ und Ausführung durch Betroffene würden Cybersicherheitsexperten „ClickFix“ nennen.

Parallel dazu hätten die Forscher eine weitere Angriffsmethode identifiziert, bei der die Hacker „WhatsApp“-Konten über die Geräteverknüpfungsfunktion kompromittierten. Nutzer würden dabei mittels QR-Code dazu verleitet, ihre Konten mit Geräten der Angreifer zu koppeln. Auf diese Weise erhielten die Täter Zugriff auf private Chats und Kontaktlisten, ohne das Konto selbst übernehmen zu müssen.

Sinistre Kombination aus mobiler Spyware-App, Desktop-Angriffen und Ausnutzung populärer Kommunikationsdienste

Nach Einschätzung der Forscher deutet diese Kombination aus mobiler Spyware, Desktop-Angriffen und der Ausnutzung populärer Kommunikationsdienste auf eine koordinierte, plattformübergreifende Spionagekampagne hin.

• Zwar lasse sich diese Operation bislang keinem bekannten Akteur eindeutig zuordnen – der klare Fokus auf pakistanische Nutzer sowie die Nachahmung staatlicher Institutionen spreche jedoch für ein hohes Maß an Vorbereitung und Präzision. „Android“-Nutzer mit aktivem „Google Play Protect“ seien indes geschützt.

„Der Fall verdeutlicht, wie wirkungsvoll soziale Manipulation in Verbindung mit technisch einfacher Schadsoftware sein kann“, so Stefankos Fazit und er warnt: „Hacker sind umso erfolgreicher, je besser sie ihre Opfer einschätzen können und lokale Gegebenheiten kennen!“

Weitere Informationen zum Thema:

welivesecurity by eseT, ESET Research, Lukas Stefanko, 26.01.2026
Love hacks – Wie eine Fake-App ahnungslose Nutzer in die Falle lockt / ESET-Forscher entdecken eine Android-Spyware-Kampagne, die auf Nutzer in Pakistan abzielt und Verbindungen zu einer breit angelegten Spionageoperation aufzeigt

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Lukas Stefanko – Malware Researcher

datensicherheit.de, 03.06.2025
Lost in Expectation: Bedenkliche Rolle der Dating-Apps / Mit dem Aufschwung sogenannter Dating-Apps in den Industriestaaten haben offenbar gleichzeitig die Single-Raten zugenommen

datensicherheit.de, 08.02.2024
Informations-Abschöpfung durch Dating-Apps: Gefahr insbesondere rund um den Valentinstag / Downloads von Dating-Apps steigt am Valentinstag weltweit um 17 Prozent an

datensicherheit.de, 27.09.2021
Dating-App: Sicherheitslücken für Nutzer ein Risiko / Pandemie hat Dating-Welt nachhaltig umgekrempelt

[datensicherheit.de, 29.11.2025] „Sturnus“ ist laut Shane Barney, „Chief Information Officer“ bei Keeper Security, eine weitere „gefährliche Eskalation im Mobil-Betrug“, da dieser „Android“-Banking-Trojaner demnach nicht nur Anmeldedaten stiehlt und eine vollständige Übernahme des Geräts ermöglicht, sondern auch Ende-zu-Ende-verschlüsselte Chats liest, indem er Inhalte erfasst, nachdem sie auf dem Gerät entschlüsselt wurden. „Sturnus“ mache deutlich, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützen könne – aber eben kein kompromittiertes Gerät. Effektive Sicherheit müsse ganzheitlich angelegt sein: Barney rät zur Kombination gehärteter Endpunkte, abgesicherter Zugriffspfade und solcher Verteidigungsmechanismen, welche für ein Umfeld entwickelt wurden, in dem zunehmend Mensch und Mobilgerät ins Visier der Angreifer geraten.

„Sturnus“ missbraucht „Android“-Berechtigungen, um auszuspähen und Transaktionen in Echtzeit auszuführen

„Das ist ein wichtiger Unterschied, denn es bedeutet, dass dies kein kryptographischer Fehler von ,Signal’, ,WhatsApp’ oder ,Telegram’ ist, sondern ein Kompromittieren des Geräts selbst.“

• In der Praxis missbrauche diese Malware leistungsstarke „Android“-Berechtigungen, um den Bildschirm auszuspähen, Nachrichten zu erfassen und Transaktionen in Echtzeit auszuführen, während gleichzeitig Warnungen unterdrückt würden, welche auf Betrug hindeuten könnten.

„Frühe Aktivitäten deuten darauf hin, dass die Betreiber ,Sturnus’ in zielgerichteten Kampagnen testen.“ Die Komponenten seien bereits gut erprobt, womit eine schnelle Skalierung möglich sei, „sobald sich die Verbreitungsmethoden verbessern“.

„Sturnus“-Bedrohung: Mobile Endpunkte als hochwertige „Assets“ erkennen und behandeln

Organisations- und Sicherheitsverantwortliche sollten dringend handeln und mobile Endpunkte als hochwertige „Assets“ betrachten. Dies bedeute, unternehmensweite Kontrollrichtlinien für Mobilgeräte und App-Installationskontrollen durchzusetzen, Geräte-Attestierung und starke „Endpoint Detection“ für „Android“ zu verlangen sowie Barrierefreiheits- und Fernsteuerungsberechtigungen zu blockieren – „sofern sie nicht ausdrücklich benötigt und geprüft werden“.

• Organisationen sollten außerdem offizielle Kommunikation und regulierte Arbeitsabläufe von „Consumer Messaging“-Apps weg verlagern und sichere, unternehmensverwaltete Kommunikationslösungen einführen.

Barneys Empfehlung: „Unternehmen sollten von einer Kompromittierung ausgehen und einschränken, worauf ein Angreifer zugreifen kann, wenn ein Gerät kompromittiert ist!“ Eine starke Verwaltung privilegierter Zugriffe, Least-Privilege-Richtlinien, regelmäßige Rotation von Zugangsdaten, segmentierte Netzwerke und adaptive Multi-Faktor-Authentifizierung (MFA) könnten verhindern, „dass ein einzelnes kompromittiertes Gerät zum Einstiegspunkt in wichtige Systeme wird“.

Gefährdung durch „Sturnus“ unterstreicht Wichtigkeit der Schulung von Anwendern

Auch die Schulung der Nutzer bleibe weiterhin entscheidend – sie sollten keine Apps aus unsicheren Quellen installieren, Berechtigungen sorgfältig prüfen und unerwartete Links oder Hinweise besonders kritisch betrachten. Erkennungsregeln und mobilfokussierte Threat-Intelligence müssten aktuell gehalten werden, um mit dem Tempo dieser sich entwickelnden Angriffstaktiken Schritt zu halten.

• „Sturnus“ sei eine Erinnerung daran, dass Ende-zu-Ende-Verschlüsselung Daten während der Übertragung schütze, nicht jedoch ein kompromittiertes Gerät.

Effektive Sicherheit müsse ganzheitlich sein, indem sie gehärtete Endpunkte, abgesicherte Zugriffspfade und Verteidigungsmechanismen kombiniere, „die für ein Umfeld entwickelt wurden, in dem Angreifer zunehmend Mensch und Mobilgerät ins Visier nehmen“.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Shane Barney

PC WELT, Hans-Christian Dirscherl, 21.11.2025
Banking-Trojaner Sturnus liest verschlüsselte Chats von Whatsapp, Signal und Telegram / Eine neue Schadsoftware für Android liest sogar die verschlüsselten Inhalte aus Whatsapp, Signal und Telegram mit und übernimmt die Kontrolle über das Handy. Das können Sie dagegen tun.

THREAT FABRIC, 20.11.2025
Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption

datensicherheit.de, 15.08.2025
LumaSpy: Android-Spyware als Bedrohung für Privatpersonen und Unternehmen / Durch diese „Android“-Spyware werden auch Unternehmen schwerwiegenden Bedrohungen ausgesetzt – da private Geräte manchmal auch Zugriff auf deren Systeme und Daten bieten

datensicherheit.de, 15.07.2025
Zimperium-Warnung vor Konfety-Malware: Angriffe auf Android-Mobilgeräte mittels neuer Variante / Zimperium-Sicherheitsexperten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich der Entdeckung auf „Android“-Endgeräten raffiniert entzieht

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

[datensicherheit.de, 15.08.2025] IT-Security-Experten von Keeper Security warnen aktuell „Android“-Anwender vor einer neuen Spyware in Verbindung mit infizierten Apps: Durch diese „Android“-Spyware seien aber auch Unternehmen schwerwiegenden Bedrohungen ausgesetzt, „da private Geräte manchmal Zugriff auf Unternehmenssysteme und -daten bieten“. In Zeiten hybrider Arbeitsmodelle, in denen sogenannte Bring-Your-Own-Device-Umgebungen (BYOD) an der Tagesordnung seien, könne bereits ein einziges kompromittiertes Mobilgerät Angreifern einen Zugangspunkt zu sensiblen Netzwerken bieten. Anne Cutler, Cybersecurity-Expertin bei Keeper Security, geht in ihrer aktuellen Stellungnahme auf diese Bedrohungslage ein:

Angreifer könnten Direktzugriff auf Unternehmens-E-Mails, „Cloud“-Plattformen und interne Anwendungen erlangen

Mobile Spyware wie „LumaSpy“ sei nachweislich in der Lage, in Browsern oder ungesicherten Passwort-Managern gespeicherte Passwörter zu sammeln.

Dadurch erhielten Angreifer direkten Zugriff auf Unternehmens-E-Mails, „Cloud“-Plattformen und interne Anwendungen, eben „wenn persönliche Geräte für organisatorische Aktivitäten verwendet werden“.

Unternehmen sollten sämtliche mobilen Endgeräte als Teil des gesamten „Sicherheitsökosystems“ behandeln

Unternehmen sollten sicherstellen, dass ihre Mitarbeiter einen sicheren, verschlüsselten Passwort-Manager zur Speicherung von Anmeldedaten verwenden, wo immer möglich eine Multi-Faktor-Authentifizierung (MFA) aktivieren und die Speicherung von Passwörtern im Browser einschränken.

Cutler rät: „Mobile Endgeräte – auch private – sollten als Teil des gesamten ,Sicherheitsökosystems’ behandelt werden!“

Implementieren von Richtlinien für Verwaltung mobiler Geräte in Unternehmen empfohlen

Das Implementieren von Richtlinien für die Verwaltung mobiler Geräte („Mobile Device Management“ / MDM) verbessere durch Maßnahmen wie Passwortschutz und Anwendungskontrolle die Sicherheit von Unternehmen.

„Damit lässt sich der Schaden, den ein einziges kompromittiertes Gerät verursachen kann, minimieren oder sogar abwenden“, erläutert Cutler.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Anne Cutler

FORBES, Zak Doffman, 11.08.2025
Delete All These ‘Spyware’ Apps On Your Android Smartphone

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

datensicherheit.de, 28.03.2023
BYOD-Risiken so hoch wie nie: Mobile Phishing nimmt zu / Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen mindestens einem Angriff per Mobile Phishing pro Quartal ausgesetzt

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen / Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint

[datensicherheit.de, 26.07.2025] „Android“-Nutzer werden laut einer aktuellen Studie seltener Opfer von Online-Betrug und ergreifen wirksamere Sicherheitsmaßnahmen als z.B. „iPhone“-Anwender. Malwarebytes hatte hierzu nach eigenen Angaben unter 1.300 Erwachsenen im Alter von 18 Jahren oder älter in den Vereinigten Staaten von Amerika, Großbritannien, Österreich, Deutschland und der Schweiz im März 2025 eine Umfrage durchgeführt, um mehr über deren Verhaltensweisen im Kontext mobiler Sicherheit und Datenschutz zu erfahren. Die Stichprobe sei nach Geschlecht, Alter, geographischem Standort und ethnischer Zugehörigkeit gleichmäßig verteilt und gewichtet worden, um ein ausgewogenes Ergebnis zu gewährleisten.

„iPhone“-Nutzer geben im Vergleich zu „Android“-Anwendern mehr personenbezogene Daten online preis…

Malwarebytes hat eine neue Studie veröffentlicht, welche demnach zeigt, dass „iPhone“-Nutzer weltweit öfter auf Online-Betrugsmaschen hereinfallen und größere Online-Risiken eingehen als „Android“-Nutzer.

• Die nun vorliegenden Ergebnisse zeigten, dass „iPhone“-Nutzer im Vergleich zu „Android“-Anwendern mehr personenbezogene Daten online preisgäben, seltener Sicherheits-Software nutzten und Passwörter häufiger wiederverwendeten. „Gleichzeitig gaben ,iPhone’-Nutzer häufiger an, Opfer von Online-Betrugsmaschen zu werden und online bei unbekannten oder unseriösen Anbietern einzukaufen.“

„Zu viele ,iPhone’-Nutzer verlassen sich in Sachen Sicherheit auf den Ruf ihres ,iPhones’, ohne selbst grundlegende Maßnahmen zu ihrem eigenen Schutz zu ergreifen. Dadurch sind sie anfälliger für Betrugsmaschen und versteckte Bedrohungen wie ,Infostealer’“, kommentiert Michael Sherwood, „VP of Product“ bei Malwarebytes.

Bloße Reputation einer Marke noch kein Ausweis für Datensicherheit

Sherwood betont: „Wir können uns nicht länger auf Reputation verlassen, wenn wir im Internet surfen, chatten oder Online-Banking abwickeln. Cyberkriminelle wissen, dass mobile Endgeräte und ihre Nutzer anfällig gegenüber Bedrohungen und Betrugsmaschen sind.“ Dessen müsse man sich bewusst sein und alles hinterfragen – von Textnachrichten und Suchergebnissen bis hin zu E-Mail-Anhängen und Links.

Die wichtigsten Erkenntnisse der Studie im Überblick:

• 53 Prozent aller „iPhone“-Nutzer seien bereits Opfer von Online-Betrug geworden, im Vergleich zu 48 Prozent der „Android“-Nutzer.
• 21 Prozent aller „iPhone“-Nutzer nutzten auf ihrem Smartphone Sicherheits-Software — im Vergleich zu 29 Prozent der „Android“-Nutzer.
• 35 Prozent aller „iPhone“-Nutzer verwendeten einzigartige Passwörter für verschiedene Online-Konten – gegenüber 41 Prozent bei „Android“-Nutzern.
• 47 Prozent aller „iPhone“-Nutzer hätten bereits einen Artikel von einer unbekannten oder unseriösen Quelle gekauft, „weil der Artikel dort am günstigsten war“, im Vergleich zu 40 Prozent der „Android“-Nutzer.
• 41 Prozent aller „iPhone“-Nutzer gäben an, über Soziale Medien eine Direktnachricht an das Konto eines Unternehmens oder Verkäufers gesendet zu haben, um einen Rabatt zu erhalten, dagegen nur 33 Prozent aller „Android“-Nutzer.

„iPhone“-Nutzer neigten dazu, den in ihrem Endgerät integrierten Sicherheitsmaßnahmen zu vertrauen: „55 Prozent der befragten ,iPhone’-Nutzer gaben an, dass sie den Sicherheitsmaßnahmen ihres Smartphones vertrauen, im Vergleich zu 50 Prozent der ,Android’-Nutzer.“ Dies erkläre sowohl die Unterschiede im Nutzerverhalten als auch die höhere Risikobereitschaft der „iPhone“-Nutzer.

Malwarebytes bietet KI-gestützten digitaler Sicherheitsbegleiter zur Betrugserkennung

Um der wachsenden Bedrohung durch Online-Betrug entgegenzuwirken, benennt Malwarebytes als Abwehr-Lösung den kürzlich auf den Markt gebrachten eigenen „Scam Guard“.

• Es handelt sich laut Malwarebytes um ein neues „Tool“, welches neben Empfehlungen zur digitalen Sicherheit auch Feedback zu Betrugsversuchen, Bedrohungen und Malware liefert. Nutzer könnten innerhalb der mobilen App einfach über eine Chat-Oberfläche verdächtige Inhalte melden.

Diese in die „Malwarebytes Mobile Security“-App integrierte Funktion solle dazu beitragen, durch Aufklärung und Prävention das Stigma zu reduzieren, welches damit einhergehe, Opfer von Online-Betrug zu werden.

Weitere Informationen zum Thema:

Malwarebytes LABS, David Ruiz, 24.07.2025
iPhone vs Android: iPhone users more reckless, less protected online

Malwarebytes LABS
Posts By Michael Sherwood

Malwarebytes
Scam Guard / Your mobile scam detector, delivering real-time tips and easy scam reporting to help keep your data safe on the go.

datensicherheit.de, 15.07.2025
Zimperium-Warnung vor Konfety-Malware: Angriffe auf Android-Mobilgeräte mittels neuer Variante / Zimperium-Sicherheitsexperten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich der Entdeckung auf „Android“-Endgeräten raffiniert entzieht

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

datensicherheit.de, 30.08.2019
iPhone: Großer Hacker-Angriff aufgedeckt / Für Privatnutzer eine Katastrophe – für Unternehmen der Super-GAU, warnt Günter Junk

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones / G DATA Security Evangelist Tim Berghoff ordnet Sicherheitslücke ein / Nutzer sollten umgehend ein Update für die Chat-Software Whatsapp einspielen / Betroffen sind Menschenrechtsanwälte und Dissidenten.

[datensicherheit.de, 15.07.2025] Sicherheitsexperten für Echtzeitschutz auf Mobilgeräten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich demnach einer Entdeckung auf „Android“-Endgeräten raffiniert entzieht: Zimperium warnt in einer aktuellen Stellungnahme, dass diese neueste Version fortschrittliche Verschleierungs- und Umgehungstaktiken auf ZIP-Ebene nutze, wodurch die Schadsoftware deutlich schwieriger zu erkennen und analysieren sei als bisherige Varianten.

Zimperiums „zLabs“-Sicherheitsforscher: „Konfety“-Malware-Kampagne nutzt Dual-App-Strategie

Zimperiums „zLabs“-Sicherheitsforschern zufolge verfolgt diese „Konfety“-Malware-Kampagne eine Dual-App-Strategie: „Der Paketname wird sowohl für eine harmlose ,Play Store’-App als auch für eine bösartige Version verwendet, die über Drittanbieterquellen verbreitet wird. Auf diese Weise sollen Benutzer getäuscht und herkömmliche Erkennungsmethoden umgangen werden.“

Darüber hinaus entziehe sich das Schadprogramm der Analyse durch Sicherheitstools, „indem die Struktur des APK-Installationspakets manipuliert, nicht unterstützte Komprimierungsformate benannt und ZIP-Header manipuliert werden“.

„Konfety“ Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern

„Es handelt sich hier nicht um eine Wiederholung von Bedrohungsmechanismen – wir sehen ein professionell gestaltetes Update, um Sicherheitsanalysten austricksen und automatisierten Security-Tools ausweichen zu können“, erläutert Nico Chiaraviglio, „Chief Scientist“ bei Zimperium. „,Konfety’ ist ein Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern und mobile Schadprogramme weiterentwickeln“, so Chiaraviglio.

Raffinierte Verschleierungsmechanismen:

• Dynamisches Code-Loading
  Bösartiger Code werde entschlüsselt und erst zur Laufzeit ausgeführt, um sich vor herkömmlichen Scans verbergen zu können.
• Fake-App-Verhalten
  Die Malware unterdrücke ihr App-Symbol, ahme legitime App-Metadaten nach und leite Benutzer durch die Infrastruktur für Anzeigenbetrug um.
• Verschleierung auf ZIP-Ebene
  Integrierte Techniken bewirkten, dass gängige Analysetools abstürzten oder die APK-Datei fälschlicherweise als passwortgeschützt bzw. falsch formatiert eingestuft würden.

Zimperium-Analyse: „Konfety“-Entwickler mit hohem Maß an Raffinesse

Die Zimperium-Analyse habe ergeben, dass „Konfety“ das „CaramelAds SDK“ nutze, um heimlich Nutzdaten übertragen, dauerhafte Spam-Browser-Benachrichtigungen verbreiten und Betrug erleichtern zu können. Diese Kampagne setze regionsspezifische Verhaltensweisen ein, um europäische Nutzer aggressiv auf verdächtige Webseiten umzuleiten.

„Konfety“ manipuliere die APK-ZIP-Struktur von „Android“ auf eine Weise, welche beliebte Reverse-Engineering-Tools abstürzen lasse. Damit setzten die Entwickler ein neues Maß an Raffinesse bei Umgehungstaktiken mobiler Malware um.

Weitere Informationen zum Thema:

ZIMPERIUM
Konfety Returns: Classic Mobile Threat with New Evasion Techniques

ZIMPERIUM
The World Leader in Mobile Device & Application Security / New: 2025 Global Mobile Threat Report

ZIMPERIUM
Zimperium Blog

The Hacker News, Ravie Lakshmanan, 16.07.2024
‚Konfety‘ Ad Fraud Uses 250+ Google Play Decoy Apps to Hide Malicious Twins

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

datensicherheit.de, 04.01.2024]
McAfee-Warnung vor Xamalicious: Spionage-Gefahr auf Android-Mobiltelefonen / Falls Android-Nutzer potenziell gefährliche Apps bereits heruntergeladen haben, empfiehlt McAfee dringend, Sicherheitsmaßnahmen zu ergreifen

datensicherheit.de, 23.05.2023
Android-Malware ab Werk nach Kontrollverlust in der Lieferkette / Weltweit Millionen von Android-Smartphones mit bösartiger Firmware infiziert