Bankkunden müssen gut aufpassen, denn aktuell ist ein gefährlicher Trojaner im Umlauf. Das perfide daran ist, dass dieser vollautomatisch Überweisungen tätigen kann, somit Ihr Konto leerräumt, ohne das der Angreifer tätig werden muss und der Handybesitzer davon was mitbekommt.

In erster Linie betrifft es bisher nur Android-Nutzer. Denn laden sie sich durchaus authentische Apps herunter, die sich regelmäßig selbst aktualisieren, könnte es passieren, dass auch die Schad-Software "Xenomorph" installiert wird.

Dieser Virus ist schon seit einem knappen Jahr im Umlauf. Aber jetzt tauchte eine neue Version auf, die den Betrug noch tückischer macht.

So ist beispielsweise möglich, dass sich die Software Zugriff zum Onlinebanking verschafft, den Kontostand überprüft und dann automatisiert Überweisungen tätigt. Xenomorph kann dabei sogar die Zwei-Faktor-Authentifizierung aushebeln und komplett am Banking-Kunden vorbei arbeiten.

Weltweit mehr als 400 Banken betroffen

Das heißt: Wer den Übeltäter nach der Installation auf seinem Smartphone hat, riskiert, Geld von seinem Bankkonto zu verlieren. Während die erste Version von Xenomorph 56 europäische Banken ins Visier nahm, sind es jetzt weltweit rund 400. In Deutschland funktioniert der Betrug, wenn auf Android-Handys die Apps von ING-DiBa, Commerzbank, Deutscher Bank oder auch Citibank installiert sind.

Über diese Apps kommt die Schad-Software aufs Handy

Welche Apps für die Verbreitung von Xenomorph verwendet werden, ist noch nicht gänzlich geklärt.

Google sagt zwar, dass die Programme aus dem Play Store sicher seien. Doch auch dort wurde die Malware bereits entdeckt: Etwa beim Währungsumrechner "CoinCalc" sei Xenomorph enthalten gewesen. Die Kriminellen gingen bei der Entwicklung besonders perfide vor. Sie gaben der Malware ein falsches Gesicht. Denn der Trojaner versteckt sich hinter einem Währungsrechner im Google Play Store. „Xenomorph v3 wird von einer Zombinder-App bereitgestellt, die an einen legitimen Währungsrechner ‚gebunden‘ ist“, heißt es bei ThreatFabric.

Bei Zombinder handelt es sich um einen Darknet-Dienst, der es erlaubt, Malware an bestehende Android-Apps anzuhängen und Google Play Protect zu überlisten. Im konkreten Fall kommt der Trojaner über ein Update aufs Smartphone, der sich hinter dem „Play Protect“-Icon verbirgt. In Apps landet immer wieder Malware. Vor zwei Jahren hatten es Kriminelle auf die Handy-Nummern von Millionen Android-Nutzern abgesehen.

Augen auf beim Aktualisieren

Deshalb sollten Nutzer jetzt ganz genau aufpassen, welche Apps Aktualisierungen durchführen wollen und welche Anwendungen man sich überhaupt installiert. Es hilft, Bewertungen zu lesen und die App-Entwickler zu prüfen.