Die neu entdeckten Android-Malware-Familien demonstrieren ein alarmiererendes Maß an technischer Raffinesse und Geschäftsorientierung. Sie reichen von traditionellen Banking-Trojanern bis zu vollwertigen Remote-Access-Tools und werden teilweise als Malware-as-a-Service (MaaS) im Darknet und über Telegram vertrieben.
PixRevolution stellt eine besondere Bedrohung dar. Die Malware operiert unsichtbar auf dem Gerät, bis das Opfer eine Pix-Zahlung einleitet. Ein wichtiges Merkmal: Aktive menschliche oder KI-gesteuerte Operatoren beobachten den Bildschirm des Opfers in Echtzeit. Sobald das Opfer den Betrag und den Pix-Schlüssel des Empfängers eingibt, zeigt die Malware ein gefälschtes WebView-Overlay mit der Aufschrift “Aguarde” (Warten auf Portugiesisch/Spanisch) an. Im Hintergrund manipuliert der Trojaner den Pix-Schlüssel und leitet die Gelder stattdessen an die Angreifer um. Das Opfer sieht nur einen kurzen Lade-Indikator – etwas, das während legitimer Banktransaktionen häufig vorkommt. Erst später, manchmal viel später, bemerkt das Opfer, dass das Geld auf das falsche Konto ging. Da Pix-Transfers sofort und endgültig sind, ist eine Rückforderung außerordentlich schwierig.
BeatBanker, eine weitere Malware, nutzt ein ungewöhnliches Persistenzmechanismus: Sie spielt eine fünf Sekunden lange Audiodatei mit chinesischen Worten in einer Schleife ab, um eine Beendigung zu verhindern. Die Malware kombiniert einen Kryptowährungen-Miner mit einem Banking-Trojaner und erstellt Overlay-Seiten für Binance und Trust Wallet, um Kryptowährungstransaktionen umzuleiten.
TaxiSpy RAT zielt hauptsächlich auf russische Banking-, Kryptowährungs- und Regierungsanwendungen ab. Sie nutzt Accessibility Services und MediaProjection APIs, um SMS-Nachrichten, Kontakte, Anrufprotokolle, Inhalte der Zwischenablage und Tastenanschläge zu erfassen. Die Malware nutzt Firebase-Push-Nachrichten für Befehle von C2-Servern.
Mirax und Oblivion werden als kommerzielle MaaS-Angebote verkauft. Mirax kostet $2.500 pro Monat für die Vollversion, während Oblivion für etwa $300 pro Monat angeboten wird und verspricht, Sicherheitsfeatures auf Geräten von Samsung, Xiaomi, OPPO und OnePlus zu umgehen. SURXRAT, eine verbesserte Version von Arsink, wird über Telegram-Kanäle durch einen indonesischen Bedrohungsakteur verwaltet und nutzt Firebase-basierte C2-Infrastruktur.
Besonders besorgniserregend ist die Integration von großen Sprachmodellen (LLM) in einige Malware-Varianten. Dies deutet darauf hin, dass Cyberkriminelle experimentieren, traditionelle Überwachung mit KI-Fähigkeiten zu kombinieren. Einige SURXRAT-Samples enthalten auch ein Ransomware-artiges Screen-Lock-Modul, das Operatoren ermöglicht, Geräte zu sperren, bis eine Zahlung geleistet wird.
Für Android-Nutzer weltweit ist dies ein Zeichen, vorsichtiger mit App-Installationen umzugehen und niemals Accessibility Services für unbekannte Anwendungen zu aktivieren.