Neue Android-Malware spioniert PINs und Passwörter aus

Sicherheitsforscher haben eine neue Android-Malware entdeckt, die es Angreifern ermöglicht, nahezu jeden Schritt auf dem Smartphone mitzuverfolgen. Die Malware kann PIN-Eingaben, Login-Daten und Inhalte aus Messenger- oder Banking-Apps abgreifen. Die Schadsoftware nutzt die Entwicklerplattform Hugging Face, um unauffällig verteilt zu werden.

Im Mittelpunkt der Entdeckung steht eine Android-App namens TrustBastion, die sich als Sicherheitslösung ausgibt. Nutzer werden über Werbeanzeigen oder Pop-ups mit der Behauptung konfrontiert, ihr Smartphone sei infiziert. Um angebliche Bedrohungen wie Phishing oder Betrugs-SMS zu entfernen, sollen sie die App installieren.

Nach außen wirkt die Anwendung harmlos, tatsächlich handelt es sich jedoch um einen sogenannten Dropper. Diese Art von App enthält zunächst keine schädlichen Funktionen, lädt diese aber nachträglich herunter. Unmittelbar nach der Installation blendet TrustBastion ein angeblich notwendiges Update ein, das optisch an offizielle Android- oder Google-Play-Dialoge angelehnt ist.

Wer dem Update zustimmt, lädt im Hintergrund eine manipulierte APK-Datei herunter. Der Download erfolgt dabei nicht über auffällige Server, sondern über Hugging Face, eine Plattform, die in der Entwickler- und KI-Community weitverbreitet ist und einen guten Ruf genießt. Sicherheitslösungen stufen Verbindungen zu Hugging Face häufig nicht als verdächtig ein.

Nach der Installation fordert die eigentliche Schadsoftware umfangreiche Berechtigungen an. Sie gibt sich als Systemkomponente mit dem Namen Phone Security aus und fordert dazu auf, die Android-Bedienungshilfen zu aktivieren. Diese Zugriffsrechte sind besonders kritisch, da sie es der App ermöglichen, Bildschirminhalte mitzulesen und Eingaben zu protokollieren.

Die Malware kann nicht nur jede PIN-Eingabe oder jedes Entsperrmuster erfassen, sondern auch gefälschte Log-in-Oberflächen über echte Apps legen. Dadurch lassen sich Zugangsdaten zu Zahlungsdiensten, Messengern oder anderen sensiblen Anwendungen abgreifen. Die erbeuteten Informationen werden anschließend an einen zentralen Steuerungsserver der Angreifer übermittelt.

Von diesem Server können auch neue Befehle oder Updates an das infizierte Gerät gesendet werden. Bitdefender berichtet, dass die Angreifer auf sogenannte serverseitige Polymorphie setzen. Das bedeutet, dass in sehr kurzen Abständen neue Versionen der Schadsoftware erzeugt werden.

Etwa alle 15 Minuten wird eine leicht veränderte APK-Datei hochgeladen, die zwar die gleiche Funktionalität besitzt, sich technisch jedoch unterscheidet. Diese Strategie erschwert die Erkennung der Malware durch Sicherheitslösungen erheblich.

Die Sicherheitsforscher raten Nutzern, besonders vorsichtig mit der Installation von Apps umzugehen, die sich als Sicherheitslösungen ausgeben. Die Verwendung von offiziellen App-Stores und das Vermeiden von unbekannten Quellen sind entscheidende Maßnahmen zur Vermeidung solcher Bedrohungen.

Bitdefender hat die Kampagne zur Verbreitung von TrustBastion als ernstzunehmende Bedrohung eingestuft und empfiehlt, die App umgehend zu deinstallieren, falls sie bereits installiert wurde. Nutzer sollten auch ihre Sicherheitsvorkehrungen überprüfen und gegebenenfalls ihre Passwörter ändern.

Die Malware wurde erstmals im Februar 2026 entdeckt und hat bereits zahlreiche Nutzer betroffen. Sicherheitsforscher warnen, dass die Bedrohung weiterhin aktiv ist und sich schnell verbreiten könnte.