Android-Trojaner Cellik hebelt Zwei-Faktor-Authentifizierung aus

Während Millionen Nutzer am Heiligabend letzte Transaktionen tätigen, warnen Sicherheitsforscher vor einer neuen Welle hochentwickelter Android-Malware. Der kürzlich entdeckte ‘Cellik’-Trojaner und die im deutschsprachigen Raum aktive ‘Albiriox’-Malware nutzen Screen-Recording, um selbst Zwei-Faktor-Authentifizierungen auszuhebeln.

Es ist der Albtraum eines jeden Smartphone-Nutzers: Man überprüft den Kontostand, und im Hintergrund schaut ein unsichtbarer Dritter live zu. Dieses Szenario ist laut aktuellen Analysen bittere Realität. Sicherheitsforscher von iVerify haben den neuen Android-Trojaner ‘Cellik’ identifiziert, der eine beunruhigende Evolution mobiler Kriminalität darstellt.

Unsichtbarer Beobachter: Live-Blick auf den Bildschirm

Die technische Raffinesse von ‘Cellik’ unterscheidet sich deutlich von herkömmlichen Phishing-Versuchen. Während klassische Banking-Trojaner oft gefälschte Login-Fenster über echte Apps legen, geht Cellik einen Schritt weiter. Die Malware nutzt eine VNC-ähnliche Funktion.

Dies ermöglicht Angreifern, den Bildschirminhalt des Opfers in Echtzeit zu streamen und das Gerät fernzusteuern. “Es ist, als würde der Angreifer das Gerät selbst in der Hand halten”, erklärte iVerify-Analyst Daniel Kelley. Besonders perfide: Cellik verfügt über einen versteckten Browser-Modus.

Gefälschte SMS und getarnte Apps — wie im Bericht über Albiriox beschrieben — sind derzeit die gefährlichste Einfallstür für Android‑Trojaner. Das kostenlose Anti‑Phishing‑Paket bietet eine klare 4‑Schritte‑Anleitung, mit der Sie Phishing‑Links sofort erkennen, gefährliche Installationen verhindern, Zugriffsrechte (z. B. Bedienungshilfen) sicher prüfen und im Notfall Ihr Konto schnell absichern. Inklusive praktischer Checkliste und verständlicher Umsetzungstipps für Privatnutzer und kleine Betriebe. Jetzt Anti‑Phishing‑Paket anfordern

Dieser Modus erlaubt es der Malware, im Hintergrund Webseiten zu öffnen und Aktionen durchzuführen, ohne dass der Nutzer dies bemerkt. Wenn ein Nutzer seine Banking-App öffnet, zeichnet Cellik die Eingaben auf. Die Angreifer können dann parallel im verborgenen Browser eine Transaktion starten und eingehende SMS-TANs in Echtzeit ablesen.

Diese “On-Device Fraud”-Methode macht viele herkömmliche Sicherheitsmechanismen wirkungslos, da die Transaktion technisch vom vertrauenswürdigen Gerät des Opfers ausgeht.

Malware im Gewand legitimer Apps

Was Cellik besonders gefährlich macht, ist seine Verbreitungsmethode. Die Entwickler bieten in Untergrundforen einen “One-Click APK Builder” an. Dieses Tool ermöglicht es Cyberkriminellen, legitime Apps aus dem Google Play Store herunterzuladen und mit dem Cellik-Schadcode zu “umhüllen”.

Das Ergebnis ist eine funktionierende Kopie einer beliebten App – sei es ein PDF-Reader oder ein Spiel –, die genau das tut, was sie soll, aber im Hintergrund die Malware installiert. Die Verkäufer behaupten, diese “Wrapper”-Methode könne die Erkennung durch Google Play Protect oft umgehen, besonders bei Installation aus unbekannten Quellen.

Das Geschäftsmodell hinter Cellik ist “Malware-as-a-Service”. Für einen Einstiegspreis von rund 150 US-Dollar pro Monat können selbst technisch weniger versierte Kriminelle diese Spionagesoftware mieten. Experten sprechen von einer Demokratisierung hochkomplexer Angriffe.

Albiriox: Gezielte Angriffe im DACH-Raum

Während Cellik weltweit agiert, sollten Nutzer in Deutschland und Österreich besonders vor einer weiteren Bedrohung gewarnt sein: Albiriox. Diese Malware ist spezifisch für den deutschsprachigen Markt angepasst.

In einer aggressiven Kampagne nutzten Angreifer gefälschte Apps, die wie die Anwendung der Supermarktkette “Penny” aussahen, um Nutzer in Österreich zu täuschen. Albiriox teilt viele Eigenschaften mit Cellik, ist aber noch stärker auf die Automatisierung von Bankbetrug spezialisiert.

Die Malware verfügt über eine fest kodierte Liste von über 400 Ziel-Apps, darunter fast alle gängigen Banking- und Fintech-Anwendungen im DACH-Raum. Die Infektionskette beginnt oft mit einer SMS, die ein angebliches Paketproblem oder Sonderangebot vortäuscht.

Der Link führt zu einer täuschend echt aussehenden Webseite, die den Download einer App fordert. Einmal installiert, fordert die App Zugriff auf die Bedienungshilfen an. Erteilt der Nutzer diese Berechtigung, übernimmt die Malware die Kontrolle: Sie kann selbstständig Klicks ausführen und den Nutzer aussperren, während das Konto geplündert wird.

Warum die Gefahr gerade jetzt so groß ist

Die Konvergenz von Bedrohungen wie Cellik und Albiriox zeigt einen klaren Trend: die Industrialisierung von Cybercrime. “Wir sehen nicht mehr nur isolierte Hacker, sondern professionelle Dienstleister, die hochkomplexe Spionage-Tools wie Produkte verkaufen”, kommentieren Analysten.

Der Zeitpunkt ist kein Zufall. Das Transaktionsvolumen im Online-Banking erreicht an den Tagen vor und nach Weihnachten seinen jährlichen Höchststand. Die Wachsamkeit der Nutzer ist im Feiertagsstress oft reduziert.

Im Vergleich zu älteren Trojanern ist die Qualität der Bildschirmübertragung bei der neuen Generation deutlich höher. Dies ermöglicht Betrug in Echtzeit, was früher oft an technischen Hürden scheiterte.

So schützen Sie sich vor den Trojanern

Um nicht Opfer von Cellik oder Albiriox zu werden, sollten Nutzer folgende Regeln strikt beachten:

• Kein Sideloading: Installieren Sie niemals Apps außerhalb des offiziellen Google Play Stores.
• Vorsicht bei Berechtigungen: Seien Sie extrem skeptisch, wenn eine einfache App Zugriff auf die “Bedienungshilfen” verlangt.
• Hardware-Sicherheit: Nutzen Sie wenn möglich biometrische Verfahren wie den Fingerabdruck.
• Google Play Protect: Stellen Sie sicher, dass die Sicherheitsfunktion in Ihrem Play Store aktiviert ist.

Sollten Sie ungewöhnliches Verhalten auf Ihrem Gerät bemerken – wie schnell entladende Akkus oder Apps, die sich von selbst öffnen – trennen Sie das Gerät sofort vom Internet.

PS: Wussten Sie, dass viele Angriffe inzwischen fertige Schadprogramme aus dem Netz laden und in Minuten zuschlagen? Dieser Gratis‑Guide zeigt, welche typischen Tricks (SMS, gefälschte App‑Stores, Wrapper‑APKs) Kriminelle nutzen und welche drei Sofortmaßnahmen Sie heute umsetzen sollten, um Live‑Screening und Kontoübernahmen zu verhindern. Der Leitfaden enthält außerdem eine Notfall‑Checkliste und leicht verständliche Erklärungen, ideal für alle, die regelmäßig Mobile‑Banking nutzen. Kostenloser Download, praxisnah und direkt anwendbar. Anti‑Phishing‑Paket jetzt herunterladen