Neue Android-Malware gefährdet Nutzerdaten

Sicherheitsforscher haben eine neue Android-Malware entdeckt, die es Angreifern ermöglicht, nahezu jeden Schritt auf dem Smartphone mitzuverfolgen. Die Malware kann PIN-Eingaben, Login-Daten sowie Inhalte aus Messenger- und Banking-Apps abgreifen. Die Schadsoftware nutzt die Entwicklerplattform Hugging Face, um unauffällig verteilt zu werden.

Im Mittelpunkt der Entdeckung steht eine Android-App namens TrustBastion, die sich als Sicherheitslösung ausgibt. Nutzer werden über Werbeanzeigen oder Pop-ups mit der Behauptung konfrontiert, ihr Smartphone sei infiziert. Um angebliche Bedrohungen wie Phishing oder Betrugs-SMS zu entfernen, sollen sie die App installieren.

Nach außen wirkt die Anwendung harmlos, tatsächlich handelt es sich jedoch um einen sogenannten Dropper. Diese Art von Malware enthält zunächst keine schädlichen Funktionen, lädt diese aber nach der Installation nach. Unmittelbar nach der Installation blendet TrustBastion ein angeblich notwendiges Update ein, das optisch an offizielle Android- oder Google-Play-Dialoge angelehnt ist.

Wer dem Update zustimmt, lädt im Hintergrund eine manipulierte APK-Datei herunter. Der Download erfolgt über Hugging Face, eine Plattform, die in der Entwickler- und KI-Community weitverbreitet ist und einen guten Ruf genießt. Sicherheitslösungen stufen Verbindungen zu Hugging Face häufig nicht als verdächtig ein, was die Verbreitung der Malware erleichtert.

Nach der Installation fordert die Schadsoftware umfangreiche Berechtigungen an. Sie gibt sich als Systemkomponente mit dem Namen Phone Security aus und fordert die Aktivierung der Android-Bedienungshilfen. Diese Zugriffsrechte sind besonders kritisch, da sie es der App ermöglichen, Bildschirminhalte mitzulesen und Eingaben zu protokollieren.

Die Malware kann gefälschte Login-Oberflächen über echte Apps legen, wodurch Zugangsdaten zu Zahlungsdiensten, Messengern oder anderen sensiblen Anwendungen abgegriffen werden können. Die erbeuteten Informationen werden an einen zentralen Steuerungsserver der Angreifer übermittelt, von wo aus neue Befehle oder Updates an das infizierte Gerät gesendet werden können.

Bitdefender berichtet, dass die Angreifer auf sogenannte serverseitige Polymorphie setzen. Dies bedeutet, dass in sehr kurzen Abständen neue Versionen der Schadsoftware erzeugt werden. Etwa alle 15 Minuten wird eine leicht veränderte APK-Datei hochgeladen, die zwar die gleiche Funktionalität besitzt, sich jedoch technisch unterscheidet.

Die Sicherheitsforscher raten Nutzern, die App umgehend zu deinstallieren und ihre Geräte auf mögliche Infektionen zu überprüfen. Die Entdeckung dieser Malware verdeutlicht die anhaltende Bedrohung durch mobile Schadsoftware und die Notwendigkeit, Sicherheitsvorkehrungen zu treffen.

Bitdefender hat die Kampagne als ernstzunehmende Bedrohung eingestuft und empfiehlt, die Installation von Apps aus unbekannten Quellen zu vermeiden. Nutzer sollten zudem regelmäßig ihre Berechtigungen überprüfen und Sicherheitsupdates für ihre Geräte installieren.

Die Malware TrustBastion wurde erstmals am 15. Februar 2026 von Bitdefender identifiziert und stellt eine ernsthafte Gefahr für Android-Nutzer dar.