Neue Android-Malware spioniert PINs und Passwörter aus

Sicherheitsforscher haben eine neue Android-Malware entdeckt, die es Angreifern ermöglicht, nahezu jeden Schritt auf dem Smartphone mitzuverfolgen. Die Malware kann PIN-Eingaben, Login-Daten und Inhalte aus Messenger- oder Banking-Apps abgreifen. Die Schadsoftware nutzt die Entwicklerplattform Hugging Face, um unauffällig verteilt zu werden.

Im Mittelpunkt der Entdeckung steht eine Android-App namens TrustBastion, die sich als Sicherheitslösung ausgibt. Nutzer werden über Werbeanzeigen oder Pop-ups mit der Behauptung konfrontiert, ihr Smartphone sei infiziert. Um angebliche Bedrohungen wie Phishing, Betrugs-SMS oder Malware zu entfernen, sollen sie die App installieren.

Nach außen wirkt die Anwendung harmlos, tatsächlich handelt es sich jedoch um einen sogenannten Dropper. Diese Art von App enthält zunächst keine schädlichen Funktionen, lädt diese aber nachträglich herunter. Unmittelbar nach der Installation blendet TrustBastion ein angeblich notwendiges Update ein, das optisch an offizielle Android- oder Google-Play-Dialoge angelehnt ist.

Wer dem Update zustimmt, lädt im Hintergrund eine manipulierte APK-Datei herunter. Der Download erfolgt dabei nicht über auffällige Server aus dem Untergrund, sondern über Hugging Face, eine Plattform, die in der Entwickler- und KI-Community weitverbreitet ist und einen guten Ruf genießt. Diese Tatsache nutzen die Angreifer aus, da Verbindungen zu Hugging Face von vielen Sicherheitslösungen zunächst nicht als verdächtig eingestuft werden.

Nach der Installation fordert die eigentliche Schadsoftware umfangreiche Berechtigungen an. Sie gibt sich als Systemkomponente mit dem Namen Phone Security aus und fordert dazu auf, die Android-Bedienungshilfen zu aktivieren. Diese Zugriffsrechte sind besonders kritisch, da sie es einer App erlauben, Bildschirminhalte mitzulesen, Eingaben zu protokollieren und andere Anwendungen zu überlagern.

Die Malware kann somit nicht nur jede PIN-Eingabe oder jedes Entsperrmuster erfassen, sondern auch gefälschte Log-in-Oberflächen über echte Apps legen. Dadurch lassen sich Zugangsdaten zu Zahlungsdiensten, Messengern oder anderen sensiblen Anwendungen abgreifen. Die erbeuteten Informationen werden anschließend an einen zentralen Steuerungsserver der Angreifer übermittelt, von wo aus neue Befehle oder Updates an das infizierte Gerät gesendet werden können.

Bitdefender berichtet, dass die Angreifer auf sogenannte serverseitige Polymorphie setzen. Dies bedeutet, dass in sehr kurzen Abständen neue Versionen der Schadsoftware erzeugt werden. Etwa alle 15 Minuten wird eine leicht veränderte APK-Datei hochgeladen, die zwar die gleiche Funktionalität besitzt, sich technisch aber unterscheidet.

Die Sicherheitsforscher empfehlen Nutzern, besonders vorsichtig zu sein und keine unbekannten Apps zu installieren. Zudem sollten Berechtigungen, die von Apps angefordert werden, kritisch hinterfragt werden. Die Entdeckung der Malware unterstreicht die Notwendigkeit, Sicherheitslösungen regelmäßig zu aktualisieren und auf dem neuesten Stand zu halten.

Die Sicherheitslücke, die durch diese Malware ausgenutzt wird, betrifft eine Vielzahl von Android-Geräten. Nutzer sollten sicherstellen, dass sie nur Apps aus vertrauenswürdigen Quellen installieren und regelmäßig ihre Sicherheitssoftware aktualisieren.

Bitdefender hat die Malware bereits an die entsprechenden Stellen gemeldet, um eine schnellstmögliche Entfernung aus den App-Stores zu erreichen. Die Sicherheitsfirma rät dazu, die App TrustBastion sofort zu deinstallieren, falls sie bereits installiert wurde.

Die Malware wurde erstmals am 12. Februar 2026 entdeckt und stellt eine ernsthafte Bedrohung für die Sicherheit von Android-Nutzern dar.