„19-Minuten-Video: Banken-Trojaner tarnt sich als viraler Clip

Cybersicherheitsexperten schlagen Alarm: Eine Banking-Malware verbreitet sich rasant über soziale Medien – getarnt als angeblich geleaktes intimes Video. Allein in den letzten 72 Stunden wurden Millionen Nutzer Opfer dieser perfiden Masche.

Was auf den ersten Blick wie ein viraler Skandal aussieht, entpuppt sich als gefährliche Betrugsmaschine. Die Kampagne verspricht Zugang zu einem „19 Minuten und 34 Sekunden langen” Video, das angeblich ein intimes Paar zeigt. Doch wer klickt, installiert unwissentlich Banking-Trojaner, die Bankkonten leerräumen können.

Besonders perfide: Die Kriminellen nutzen psychologische Trigger wie Neugier und die Angst, etwas zu verpassen. Auf Instagram, X und Telegram kursieren reißerische Thumbnails mit Versprechungen wie „Staffel 2″ oder „ungekürzte Version”. Doch das Video existiert gar nicht.

Passend zum Thema: Android‑Smartphones sind ein bevorzugtes Ziel für Banking‑Trojaner – oft getarnt als vermeintliche Video‑Player oder Codecs, die per WhatsApp oder Social Media verbreitet werden. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen Schritt für Schritt: welche Berechtigungen Sie prüfen, wie Sie Bedienungshilfen absichern und welche Einstellungen verdächtige Apps blockieren. Schützen Sie Ihr Gerät und Ihre Konten jetzt. Jetzt Gratis‑Sicherheits‑Paket für Android sichern

So funktioniert die Falle

Der Angriff läuft in vier präzise orchestrierten Schritten ab. Zunächst stoßen Nutzer auf Posts in sozialen Medien oder erhalten WhatsApp-Nachrichten mit dem vermeintlichen Video-Link. Der Klick führt jedoch nicht zur Wiedergabe, sondern zu gefälschten Websites, die legitime Videoplattformen imitieren.

Dort werden Opfer aufgefordert, einen „Player” oder „Codec” herunterzuladen – in Wahrheit Schadsoftware. Einmal installiert, fordert die Malware Zugriff auf die Bedienungshilfen des Smartphones. Wird dieser gewährt, übernehmen die Kriminellen nahezu vollständige Kontrolle über das Gerät.

Die Trojaner sind hochspezialisiert: Sie zeichnen Tastatureingaben auf, legen gefälschte Login-Masken über echte Banking-Apps und fangen SMS-Nachrichten ab. Damit erbeuten Angreifer Zugangsdaten, Passwörter und Zwei-Faktor-Authentifizierungscodes in Echtzeit – genug, um Konten zu plündern.

Doppeltes Risiko für Opfer

Besonders brisant: In Indien, wo die Kampagne derzeit besonders wütet, machen sich Opfer zusätzlich strafbar. Das Information Technology Act von 2000 stellt die Verbreitung solcher Inhalte unter Strafe.

Laut Paragraph 67 und 67A drohen bis zu fünf Jahre Haft und Geldstrafen zwischen 500.000 und einer Million Rupien (etwa 5.500 bis 11.000 Euro). „Nutzer müssen extreme Vorsicht walten lassen”, warnen Cybersicherheitsbeamte. Wer aus Neugier klickt, riskiert also nicht nur sein Erspartes, sondern auch rechtliche Konsequenzen.

Social-Media-Stars stellen klar

Die Dimension des Betrugs zwang bereits Influencer zum Handeln. Eine Instagram-Kreatorin veröffentlichte Mitte der Woche ein Statement-Video, nachdem ihr Bild fälschlicherweise mit dem viralen Clip in Verbindung gebracht wurde. Die Masche zeigt, wie Kriminelle Deepfake-Gerüchte gezielt streuen, um die Reichweite zu maximieren.

Konkrete Schadenssummen für die aktuelle „19-Minuten”-Welle liegen noch nicht vor. Die Economic Times berichtete allerdings bereits früher über eine Zunahme dateibasierter Cyberangriffe über WhatsApp. Diese Kampagne markiert eine Weiterentwicklung – weg von statischen Dateien, hin zu viralen Social-Engineering-Attacken.

Fünf Regeln zum Selbstschutz

Sicherheitsexperten empfehlen einen „Zero-Trust”-Ansatz gegenüber viralen Inhalten. Erstens: Jeder Link, der „geleakte” oder „virale” kontroverse Aufnahmen verspricht, ist als potenzielle Bedrohung zu behandeln.

Zweitens sollten Nutzer niemals Media-Player oder Apps von Drittanbieter-Websites herunterladen – ausschließlich aus dem Google Play Store oder Apple App Store installieren. Drittens ist Vorsicht geboten bei Apps, die Bedienungshilfen oder Bildschirmüberlagerung anfordern – Schlüsselwerkzeuge für Banking-Trojaner.

Viertens müssen Betriebssysteme und Antiviren-Definitionen stets aktuell gehalten werden, um bekannte Malware-Signaturen zu erkennen. Und fünftens gilt: Wenn etwas zu skandalös klingt, um wahr zu sein – ist es das meistens auch.

PS: Nutzen Sie WhatsApp, Telegram oder Online‑Banking auf dem Handy? Diese 5 praktischen Maßnahmen können verhindern, dass Schadsoftware Tastatureingaben aufzeichnet oder SMS abfängt. Der kostenlose Ratgeber liefert leicht umsetzbare Checklisten – von App‑Quellen und Berechtigungsprüfung bis zu automatischen Updates und Antivirus‑Einstellungen. Holen Sie sich die Anleitung und schützen Sie Ihre Konten, bevor etwas passiert. Jetzt kostenlosen Android‑Schutz‑Guide herunterladen