Neue Android-Malware spioniert PINs und Passwörter aus

Sicherheitsforscher haben eine neue Android-Malware entdeckt, die es Angreifern ermöglicht, nahezu jeden Schritt auf dem Smartphone zu überwachen. Die Malware kann PIN-Eingaben, Login-Daten und Inhalte aus Messenger- oder Banking-Apps abgreifen. Die Schadsoftware nutzt die Plattform Hugging Face, um unauffällig verteilt zu werden.

Im Mittelpunkt der Entdeckung steht eine Android-App namens TrustBastion, die sich als Sicherheitslösung ausgibt. Nutzer werden durch Werbeanzeigen oder Pop-ups dazu verleitet, die App zu installieren, indem ihnen suggeriert wird, ihr Smartphone sei infiziert. Die App gibt vor, Bedrohungen wie Phishing oder Malware zu entfernen.

Obwohl die Anwendung nach außen harmlos wirkt, handelt es sich um einen sogenannten Dropper. Dies bedeutet, dass die App zunächst keine schädlichen Funktionen enthält, sondern diese nachträglich herunterlädt. Unmittelbar nach der Installation wird ein gefälschtes Update angezeigt, das optisch an offizielle Android-Dialoge angelehnt ist.

Wer dem Update zustimmt, lädt im Hintergrund eine manipulierte APK-Datei herunter. Der Download erfolgt über Hugging Face, eine Plattform, die in der Entwickler- und KI-Community weit verbreitet ist und einen guten Ruf genießt. Sicherheitslösungen stufen Verbindungen zu Hugging Face häufig nicht als verdächtig ein, was die Verbreitung der Malware erleichtert.

Nach der Installation fordert die Schadsoftware umfangreiche Berechtigungen an und gibt sich als Systemkomponente mit dem Namen Phone Security aus. Die App fordert die Aktivierung der Android-Bedienungshilfen, was besonders kritisch ist, da diese Zugriffsrechte es der App ermöglichen, Bildschirminhalte mitzulesen und Eingaben zu protokollieren.

Durch diese Berechtigungen kann die Malware nicht nur jede PIN-Eingabe oder jedes Entsperrmuster erfassen, sondern auch gefälschte Login-Oberflächen über echte Apps legen. Dadurch können Zugangsdaten zu Zahlungsdiensten, Messengern oder anderen sensiblen Anwendungen abgegriffen werden. Die erbeuteten Informationen werden an einen zentralen Steuerungsserver der Angreifer übermittelt.

Bitdefender berichtet, dass die Angreifer serverseitige Polymorphie nutzen, um ständig neue Varianten der Schadsoftware zu erzeugen. Etwa alle 15 Minuten wird eine leicht veränderte APK-Datei hochgeladen, die zwar die gleiche Funktionalität besitzt, sich jedoch technisch unterscheidet. Dies erschwert die Erkennung durch Sicherheitslösungen erheblich.

Die Sicherheitsforscher empfehlen, die Installation von Apps aus unbekannten Quellen zu vermeiden und die Berechtigungen von installierten Anwendungen regelmäßig zu überprüfen. Nutzer sollten besonders vorsichtig sein, wenn eine App nach der Installation ein Update anfordert, insbesondere wenn es sich um eine Sicherheits-App handelt.

Die Entdeckung dieser Malware verdeutlicht die anhaltende Bedrohung durch mobile Schadsoftware und die Notwendigkeit, Sicherheitsvorkehrungen zu treffen. Laut Bitdefender sind bereits mehrere tausend Nutzer von der Malware betroffen.

Die Sicherheitslücke wurde am 9. Februar 2026 von Bitdefender öffentlich gemacht, und die Forscher arbeiten daran, weitere Informationen über die Verbreitung und die technischen Details der Malware zu sammeln.