Struktur und Arbeitsweise moderner Android-Malware: Wie Overlays, Virtualisierung und NFC-Betrug mobiles Arbeiten bedrohen

Android-Malware wird immer raffinierter – statt einfacher Phishing-Apps setzen Cyberkriminelle inzwischen auf hoch entwickelte Techniken wie Virtualisierung, Fernsteuerung und gezielte App-Manipulation. Aktuelle Schadprogramme zeigen eindrucksvoll, wie professionell organisierte Angreifer bereits vorgehen, um Daten zu stehlen, Geräte zu kontrollieren und Finanzbetrug in Echtzeit durchzuführen. Die Bedrohung geht dabei längst über klassische Methoden hinaus – und stellt Sicherheitslösungen vor neue Herausforderungen.

1. Antidot: Spionagekampagne mit Malware-as-a-Service

Die Android-Malware AntiDot wird vom Bedrohungsakteur LARVA-398 entwickelt und auf Untergrundmärkten als Malware-as-a-Service (MaaS) angeboten. Laut den Schweizer Sicherheitsanalysten von PRODAFT kommt AntiDot bereits in mindestens 273 Kampagnen mit über 3.775 infizierten Geräten weltweit zum Einsatz.

Die Malware wird in einschlägigen Foren als „Drei-in-eins-Lösung“ beworben und nutzt gezielt Androids Barrierefreiheitsdienste, um Bildschirmaktivitäten aufzuzeichnen, SMS-Nachrichten abzufangen und sensible Daten aus Drittanbieter-Apps zu extrahieren.

AntiDot verbreitet sich nach aktuellen Erkenntnissen vor allem über infizierte Werbenetzwerke oder über maßgeschneiderte Phishing-Kampagnen aus, die auf die Sprache und den Standort der Opfer abgestimmt sind. Erste Hinweise auf die Malware tauchten im Mai 2024 auf, als sie sich als vermeintliche Google-Play-
Updates tarnte.

Die Maskierung als System- oder App-Update gilt offenbar als bevorzugte Methode der Täuschung. Wer darauf hereinfällt, wird gezielt über Social Engineering dazu gebracht, Sonderberechtigungen zu erteilen. In einem dreistufigen Installationsprozess entpackt die Malware ihre Funktionalität – verschlüsselt, fragmentiert und erst zur Laufzeit aktiviert –, um statische Analysen und Signatur-Scans zu umgehen.

Aus technischer Sicht handelt es sich bei AntiDot um eine auf Java basierende Malware, die stark verschleiert arbeitet. Die drei Schritte, mit denen sich die Schadsoftware auf einem Android-Smartphone installiert, sind:

1. Start über eine APK-Datei (Android Package Kit, das Installationspaket für Android-Anwendungen),
2. Packen durch einen kommerziellen Packer, der zur Laufzeit Schadfunktionen nachlädt,
3. Entpacken eines DEX-Moduls, das die Botnet-Funktionalitäten bereitstellt.

Bei der Analyse der Datei AndroidManifest.xml fällt auf, dass zahlreiche Klassennamen im ursprünglichen
APK-Paket nicht enthalten sind. Diese werden erst zur Laufzeit dynamisch nachgeladen, was eine effektive Methode darstellt, um Virenscanner zu umgehen.

Echtzeitüberwachung und C2-Infrastruktur

Ein wesentliches Kennzeichen von AntiDot ist die Möglichkeit, kompromittierte Geräte aus der Ferne zu steuern. Die Malware nutzt die MediaProjection-API, um Bildschirminhalte auszulesen, und setzt WebSocket-Verbindungen für eine bidirektionale Echtzeitkommunikation mit der Command-and-Control-(C2)-Infrastruktur ein. Laut Experten wurden mindestens elf aktive C2-Server identifiziert, die alle derzeit bekannten 3.775 kompromittierten Geräte steuern. Das zugehörige Steuerpanel basiert auf dem JavaScript-
Framework MeteorJS und bietet:

• Bots: Übersicht über alle infizierten Geräte
• Injects: Liste der Zielanwendungen für Overlay-Angriffe mit Vorlagen
• Analytic: Analyse der installierten Apps zur Identifikation neuer Ziele
• Settings: Konfiguration der Injects und anderer Parameter
• Gates: Verwaltung der Endpunkte, mit denen die Bots kommunizieren
• Help: Support-Funktionen für Betreiber

Nach der Installation blendet AntiDot ein gefälschtes Update-Fenster ein, das die Nutzer dazu bewegen soll, die Barrierefreiheitsrechte freizugeben. Sofort wenn diese Rechte erteilt sind, beginnt die Malware mit ihren Spionageaktivitäten. Sobald AntiDot aktiv ist, überwacht die Malware kontinuierlich, welche Anwendungen geöffnet werden. Startet das Opfer beispielsweise eine Krypto-Wallet oder eine Zahlungs-App, legt sich eine täuschend echte Overlay-Oberfläche über die Originalansicht. Die Eingaben, etwa Zugangsdaten für Wallets, werden direkt an die Angreifer übermittelt.

Weitere Angriffsvektoren umfassen das Abfangen von SMS-Nachrichten, das Abhören oder Umleiten von Anrufen, die Überwachung aktiver Bildschirminhalte und die Unterdrückung von Systembenachrichtigungen.

Diese Funktionen machen AntiDot zu einer besonders gefährlichen Schadsoftware: Sie eignet sich nicht nur für den Diebstahl sensibler Daten und betrügerische Aktivitäten, sondern ermöglicht auch die vollständige Fernsteuerung infizierter Geräte.

Im Dezember 2024 tauchte außerdem eine neue Variante der Malware auf. Unter dem Namen AppLite Banker verbreitete sich AntiDot über eine Phishing-Kampagne, die vorgeblich Stellenangebote enthielt. Die Angreifer täuschten Bewerbungen oder Jobanzeigen vor, um Nutzer dazu zu bewegen, die infizierte App eigenständig auf ihren Geräten zu installieren.

AntiDot ist nicht nur ein gewöhnlicher Android-Trojaner, sondern eine vollständig ausgebaute Malware-as-a-Service-(MaaS)-Plattform, die auf finanziellen Gewinn durch umfassende Kontrolle mobiler Geräte abzielt. Die Kombination aus Overlay-Techniken, WebView-Injects, Echtzeitkommunikation und  Verschleierung macht diese Malware zu einer erheblichen Bedrohung für die Privatsphäre und die Sicherheit.

2. Godfather setzt auf Virtualisierung für Banking-Betrug

Neben AntiDot sorgt auch eine weitere Malware-Familie für zunehmende Besorgnis in der Android-Welt: GodFather. Wie Sicherheitsanalysten von Zimperium zLabs berichten, ist eine neue, technisch deutlich weiterentwickelte Variante des GodFather-Bankingtrojaners für Android aufgetaucht. Die Schadsoftware nutzt nun Virtualisierung direkt auf dem Gerät, um Banking- und Krypto-Apps zu kapern und in Echtzeit betrügerische Aktionen auszuführen.

Im Unterschied zu klassischen Android-Trojanern, die lediglich gefälschte Login-Fenster einblenden, installiert GodFather eine sogenannte Host-Anwendung, die ein vollständiges Virtualisierungs-Framework enthält. Diese Anwendung lädt gezielt Kopien legitimer Banking- oder Kryptowährungs-Apps herunter und führt sie in einer isolierten, kontrollierten Umgebung aus – für den Nutzer bleibt das unbemerkt.

Sobald eine Ziel-App gestartet wird, leitet GodFather den Aufruf in die manipulierte virtuelle Instanz um. Dort kann das Nutzerverhalten vollständig überwacht und in Echtzeit manipuliert werden, beispielsweise um Anmeldedaten oder Transaktionen abzugreifen.

Die aktuelle Version von GodFather bringt außerdem neue Funktionen mit, um statische Analysen gezielt zu umgehen. Dazu zählen unter anderem

• die Manipulation von ZIP-Dateien innerhalb der App sowie
• das Befüllen des AndroidManifest-Files mit irrelevanten Berechtigungen, um forensische Analysen zu erschweren.

Wie bereits bei AntiDot setzt auch GodFather auf die Barrierefreiheitsdienste von Android, um Informationen vom Gerät abzugreifen und Nutzerinteraktionen zu kontrollieren. Zwar hat Google mit Android 13 neue Schutzmechanismen eingeführt, die verhindern sollen, dass manuell installierte Anwendungen auf diese Dienste zugreifen können, doch umgeht die Malware dies durch eine sogenannte sitzungsbasierte Installation – ein Verfahren, das auch von App-Stores und Browsern zur Installation von APK-Dateien genutzt wird.

Virtualisierungstechnik im Detail

Im ersten Schritt prüft die Malware, welche Apps auf dem Gerät installiert sind, und gleicht diese mit einer internen Zielliste ab. Erkennt GodFather eine Anwendung, für die bereits Vorbereitungen getroffen wurden, lädt die Malware eine Kopie dieser App in die virtuelle Umgebung innerhalb der Schadsoftware. Sobald der Nutzer die echte App startet, wird er unbemerkt in die manipulierte Sandbox umgeleitet.

Dieses Vorgehen stellt einen Paradigmenwechsel im Bereich mobiler Bedrohungen dar. Anstatt sich auf klassische Overlay-Techniken zu verlassen, übernehmen Angreifer nun direkt die Original-Anwendung – einschließlich ihrer Benutzeroberfläche und Funktionen. Ein ähnliches Vorgehen wurde bereits im Dezember 2023 bei einer anderen Android-Malware namens Fjord-Phantom beobachtet, die ebenfalls mit virtuellen App-Umgebungen arbeitete.

Laut Analysten richtet sich die aktuelle GodFather-Kampagne gegen rund 500 Anwendungen weltweit, darunter Banking- und Krypto-Apps. Besonders besorgniserregend ist eine neue Fähigkeit der Malware: Sie kann Gerätesperrcodes auslesen, unabhängig davon, ob Nutzer ein Muster, eine PIN oder ein Passwort verwenden. Dadurch ist nicht nur das Nutzerkonto gefährdet, sondern auch die physische Sicherheit des Geräts.

Die missbräuchliche Nutzung der Barrierefreiheitsdienste gehört zu den wichtigsten Techniken, mit denen Android-Malware ihre Zugriffsrechte erweitert. Dabei verschaffen sich Schad-Apps Berechtigungen, die weit über ihren eigentlichen Funktionsumfang hinausgehen, beispielsweise durch die Ausnutzung von herstellerspezifischen Berechtigungen (OEM-Privilegien) oder durch Sicherheitslücken in vorinstallierten System-Apps, die sich vom Nutzer nicht deinstallieren lassen.

3. Supercard X: NFC-Betrug mit umgeleiteten Datenströmen

Eine weitere Angriffswelle richtet sich gegen die NFC-Funktion moderner Smartphones. Die Malware SuperCard X, die von der russischen Sicherheitsfirma F6 entdeckt wurde, basiert auf einer modifizierten Version des Open-Source-Tools NFCGate. Ihr Ziel ist es, die NFC-Kommunikation in Echtzeit umzuleiten, beispielsweise beim kontaktlosen Bezahlen oder beim Auslesen von EMV-Chips.

Im Angriffsszenario liest die Malware NFC-Daten von Bankkarten aus, überträgt diese in Echtzeit an ein angreiferkontrolliertes Gerät und nutzt sie dort für Zahlungen an POS-Terminals oder Bargeldabhebungen an Geldautomaten.

SuperCard X kam zunächst bei Angriffen in Italien und Russland zum Einsatz. Inzwischen existieren Varianten, die gezielt Nutzer in Australien, Europa und den Vereinigten Staaten ansprechen. Technisch basiert die Malware auf der chinesischen Plattform NGate, einer NFC-fähigen Malware-Suite, die ebenfalls bereits in Tschechien aktiv war.

4. Bedrohungen aus offiziellen App-Stores

Während alle zuvor genannten Malware-Varianten darauf angewiesen sind, dass Nutzer infizierte Anwendungen manuell, etwa per Sideloading, auf ihren Geräten installieren, zeigen neue Untersuchungen nun auch das Vorhandensein schädlicher Apps in den offiziellen Stores von Google Play und Apple. Diese Anwendungen können persönliche Daten ausspähen und mnemonische Wiederherstellungsphrasen von Kryptowallets stehlen, um digitale Vermögenswerte der Nutzer zu kompromittieren.

Eine der betroffenen Anwendungen, RapiPlata, wurde Schätzungen zufolge rund 150.000 Mal auf Android- und iOS-Geräten heruntergeladen – ein deutliches Zeichen für die Ernsthaftigkeit der Bedrohung. Bei der App handelt es sich um eine sogenannte SpyLoan-Malware: Sie lockt Nutzer mit angeblich günstigen Kreditangeboten, um sie anschließend zu erpressen, auszuspionieren und ihre Daten zu stehlen.

Laut dem Sicherheitsunternehmen Check Point zielt RapiPlata insbesondere auf Nutzer in Kolumbien ab. Die App verspricht schnelle Kleinkredite, erfasst tatsächlich jedoch umfangreiche persönliche Informationen, darunter SMS-Nachrichten, Anruflisten, Kalendereinträge und Daten zu installierten Anwendungen. Diese Daten werden anschließend an externe Server übertragen.

Im Gegensatz dazu schleusten Angreifer Krypto-Phishing-Apps über kompromittierte Entwicklerkonten in die offiziellen Stores ein. Diese Apps nutzen WebView, um gefälschte Webseiten anzuzeigen und die Wiederherstellungsphrasen von Kryptowallets abzugreifen – mit dem Ziel, die digitalen Guthaben der Opfer zu entwenden.

Auch wenn diese Apps inzwischen aus den offiziellen App-Stores entfernt wurden, besteht die Gefahr weiterhin: Die Android-Versionen könnten nach wie vor über inoffizielle Drittanbieter-Marktplätze erhältlich sein. Nutzer sollten daher besonders vorsichtig sein, wenn sie Finanz- oder Kredit-Apps herunterladen.

Android-Sicherheit steht am Scheideweg

Die Kombination aus Overlay-Angriffen, Virtualisierungs-Frameworks, NFC-Manipulation und Store-Bypassing vergrößert die Angriffsfläche für Android-Geräte dramatisch. Angreifer erlangen tiefe Systemzugriffe – oft ohne Root-Access oder sichtbare Warnungen.

„Die Abwehr von Rechteausweitungen und die Absicherung des Android-Ökosystems gegen überprivilegierte oder schadhafte Apps erfordert mehr als nur Nutzeraufklärung oder reaktive Sicherheitsupdates“, so Ziv Zeira von Zimperium. „Es braucht proaktive, skalierbare und intelligente Schutzmechanismen.“

Notwendig sind verhaltensbasierte Erkennungsmethoden, systemweite Überwachung privilegierter API-Zugriffe, stärkere Kontrolle über App-Installationen aus alternativen Quellen, regelmäßige Auditierung vorinstallierter Apps und engere Zusammenarbeit zwischen Plattformbetreibern, App Stores und Cybersicherheitsanbietern.

THN / Stefan Mutschler, freier Journalist