Android-Malware

Android-Malware wird immer gefährlicher und betrifft zahlreiche User. Aktuell ist die Schadsoftware „TrustBastion“ unterwegs. Sie tarnt sich als Sicherheits-App und stiehlt sensible Daten von Smartphones.

Wir zeigen, wie der Angriff funktioniert, wie Sie einen Android-Virus erkennen und welche Sofortmaßnahmen wirklich helfen, um Konten und Geräte abzusichern.

So funktioniert „TrustBastion“

Eine neue Android-Malware-Kampagne sorgt derzeit für Aufmerksamkeit in der IT-Sicherheitsbranche. Sicherheitsforscher von Bitdefender berichten über die Schadsoftware „TrustBastion“, die sich als legitime Sicherheits-App ausgibt. Ziel ist es, Nutzer zur Installation zu bewegen und anschließend sensible Daten auszulesen.

Besonders perfide ist die Kombination aus glaubwürdiger Tarnung und technischer Raffinesse. Die App wirkt auf den ersten Blick seriös, zeigt zunächst keine schädlichen Funktionen und fordert erst später ein vermeintliches Update an.

Solche mehrstufigen Angriffe sind laut aktuellen Analysen von ENISA und BSI typisch für moderne Malware-Kampagnen. Sie setzen auf Vertrauen statt auf technische Exploits. Für Anwender wird es dadurch zunehmend schwieriger, schädliche von legitimen Anwendungen zu unterscheiden – selbst wenn sie grundsätzlich vorsichtig agieren.

Ungewöhnlich ist vor allem der Verbreitungsweg der Malware. Statt auf verdächtige Server im Darknet zurückzugreifen, nutzen die Angreifer die bekannte Entwicklerplattform Hugging Face. Diese wird weltweit von Softwareentwicklern und KI-Projekten genutzt und gilt grundsätzlich als vertrauenswürdig. Genau diesen Ruf machen sich die Täter zunutze.

Sicherheitslösungen stufen Verbindungen zu etablierten Plattformen häufig nicht als kritisch ein, wodurch die Schadsoftware unauffälliger agieren kann. Technisch handelt es sich bei der ersten App um einen sogenannten Dropper, der nachträglich eine manipulierte APK-Datei lädt.

Laut Malware-Analysen ähnelt dieses Vorgehen bekannten Supply-Chain-Strategien, bei denen legitime Infrastruktur für bösartige Zwecke missbraucht wird. Die Nutzung vertrauenswürdiger Dienste erschwert sowohl automatisierte Erkennungssysteme als auch manuelle Prüfungen erheblich.

Polymorphe Varianten der Android-Malware

Besonders ausgeklügelt ist die eingesetzte Technik der serverseitigen Polymorphie. Dabei werden in kurzen Zeitabständen neue Varianten der Malware generiert und hochgeladen. Berichten zufolge entstanden innerhalb eines Monats mehr als 6000 unterschiedliche Versionen. Jede Variante weist minimale Veränderungen im Code auf, wodurch signaturbasierte Virenscanner an ihre Grenzen stoßen.

Dieses Verfahren ist aus der klassischen Trojaner-Entwicklung bekannt, wird jedoch zunehmend automatisiert eingesetzt. Laut aktuellen Sicherheitsreports von Kaspersky und Check Point steigt die Zahl polymorpher Android-Bedrohungen seit Jahren kontinuierlich.

Für Unternehmen bedeutet das: Reine Signaturerkennung reicht nicht mehr aus. Notwendig sind verhaltensbasierte Analysen und Endpoint-Schutzlösungen, die ungewöhnliche Aktivitäten erkennen – etwa verdächtige Berechtigungsanfragen oder unerwartete Netzwerkkommunikation.

Android-Malware als Remote-Access-Trojaner (RAT)

Nach erfolgreicher Installation fordert TrustBastion Zugriff auf die Android-Bedienungshilfen an. Diese Funktion wurde ursprünglich entwickelt, um Menschen mit Einschränkungen die Nutzung von Smartphones zu erleichtern.

Sie erlaubt es Apps jedoch auch, Bildschirminhalte mitzulesen, Eingaben zu verfolgen und andere Anwendungen zu überlagern. Genau hier setzt die Malware an. Durch die Aktivierung erhält sie weitreichende Kontrolle über das Gerät. Sicherheitsbehörden wie das BSI warnen seit Jahren vor dem Missbrauch von Accessibility-Services, da sie häufig von Banking-Trojanern eingesetzt werden.

Die Schadsoftware kann so Login-Daten abfangen, TAN-Eingaben auslesen oder gefälschte Overlay-Fenster einblenden. Für Nutzer ist dieser Angriff schwer erkennbar, da die Berechtigungsanfrage technisch legitim erscheint.

Datendiebstahl durch Remote-Access-Trojaner

Bei „TrustBastion“ handelt es sich um einen Remote Access Trojaner (RAT). Das bedeutet, dass Angreifer nach der Infektion aus der Ferne Befehle ausführen und Daten auslesen können. Neben Zugangsdaten zu Zahlungsdiensten sind insbesondere E-Mail-Konten, Social-Media-Profile und Cloud-Dienste gefährdet.

Gestohlene Informationen werden an einen zentralen Command-and-Control-Server übermittelt. Von dort können weitere Schadbefehle folgen. Laut aktuellen Cybercrime-Lagebildern von Europol sind RATs ein zentrales Werkzeug organisierter Cyberkriminalität.

Sie dienen nicht nur dem direkten Datendiebstahl, sondern auch als Einstiegspunkt für weiterführende Angriffe. In Unternehmensumgebungen können kompromittierte Mobilgeräte so zum Risiko für interne Netzwerke und Cloud-Infrastrukturen werden.

So schützen Sie sich vor Android-Malware

Der Fall „TrustBastion“ zeigt erneut, wie wichtig grundlegende Sicherheitsmaßnahmen sind. Apps sollten ausschließlich aus offiziellen Quellen wie dem Google Play Store installiert werden. Dennoch ist auch dort Vorsicht geboten. Google empfiehlt, Play Protect aktiviert zu lassen und regelmäßig Sicherheitsupdates zu installieren.

Zusätzlich kann eine seriöse Mobile-Security-Lösung helfen, verdächtige Aktivitäten zu erkennen. Nutzer sollten Berechtigungsanfragen kritisch prüfen – insbesondere, wenn eine App Zugriff auf Bedienungshilfen verlangt.

Bei Verdacht auf eine Infektion empfiehlt sich die sofortige Deinstallation der betroffenen App, eine Überprüfung mit Sicherheitssoftware sowie gegebenenfalls das Zurücksetzen auf Werkseinstellungen. Anschließend sollten sämtliche Passwörter geändert werden. Wer Zwei-Faktor-Authentifizierung nutzt, reduziert das Risiko erheblich, selbst wenn Zugangsdaten kompromittiert wurden.

Unterstützung durch IT-Experten: Schutz vor Malware

Der Schutz vor Android-Malware erfordert mehr als nur Vorsicht beim App-Download. Unternehmen müssen technische Sicherheitsmaßnahmen, klare Richtlinien für mobile Endgeräte und organisatorische Prozesse sinnvoll miteinander kombinieren, um Datenabfluss zuverlässig zu verhindern.

Gerade im Mittelstand fehlt jedoch häufig die Zeit oder das Know-how, um Risiken wie kompromittierte Apps, unsichere Zugriffsrechte oder fehlende Mobile-Device-Management-Strukturen systematisch zu bewerten. Hinzu kommen Anforderungen aus Datenschutz und Compliance, die im Ernstfall schnell zu hohen Folgekosten führen können. Die Experten aus dem IT-SERVICE.NETWORK unterstützen Unternehmen dabei, mobile Sicherheitslücken frühzeitig zu erkennen und Schutzmaßnahmen gezielt umzusetzen.

Dazu gehören Empfehlungen für sichere App-Strategien, die Einführung von 2FA, Mobile-Endpoint-Security sowie Konzepte zur Absicherung von Endgeräten und Cloud-Zugängen. Ziel ist es, mobile Angriffe nachhaltig zu verhindern und IT-Sicherheit nicht dem Zufall zu überlassen, sondern als festen Bestandteil der Unternehmensstrategie zu etablieren.

---

Weiterführende Informationen:
connect, pcwelt, winfuture
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.