In Russland läuft derzeit eine umfangreiche Malware-Kampagne gegen Besitzer von Android-Smartphones. Nach Recherchen des Unternehmens F6 (Digital Risk Protection) verbreiten Cyberkriminelle einen Banking-Trojaner, der sich als „erweiterte“ oder „18+“-Versionen populärer Apps wie YouTube und TikTok ausgibt. Versprochen werden YouTube ohne Werbung, TikTok 18+, Zugang zu gesperrten Inhalten und Zusatzfunktionen – installiert wird in Wirklichkeit Schadsoftware.
Wie die Malware verbreitet wird: Phishing-Domains und gefälschte Download-Seiten
Seit Anfang Oktober 2025 wurden laut F6 mehr als 30 schädliche Domains identifiziert, die aktiv an der Verteilung der APK-Dateien beteiligt waren. Erste ähnliche Seiten tauchten bereits im Sommer 2025 auf, doch zum Herbst – mit Beginn des neuen Schuljahres und steigender Nachfrage nach Unterhaltungs-Apps – nahm die Registrierung neuer Domains deutlich zu.
Die Angreifer betreiben ein Netzwerk von Phishing-Websites, die sich gezielt als ausländische Videoplattformen wie YouTube und TikTok ausgeben, deren offizieller Zugriff in Russland erschwert ist. Diese Seiten werden in russischen Suchmaschinen indexiert, sodass Nutzer sie über Suchanfragen wie „YouTube ohne Werbung APK“ oder „TikTok 18+ Download“ leicht finden.
Registriert werden Domains unter anderem in den Zonen .ru, .top, .pro, .fun, .life, .live, .icu, .com, .cc. In vielen Namen tauchen bekannte Marken sowie Begriffe wie ultra, mega, boost, plus, max auf. Diese Wortwahl vermittelt den Eindruck einer offiziellen, „Premium“-Variante der jeweiligen App und erhöht so die Glaubwürdigkeit der Fälschungen.
Welche Apps gefälscht werden: YouTube 18+, TikTok 18+ und Tools für Autofahrer
„YouTube ohne Werbung“ und „TikTok 18+“ als Köder
Im Mittelpunkt der Kampagne stehen vermeintlich „verbesserte“ Varianten bekannter Dienste: TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced und „Ютуб-Плюс“. Den Opfern werden Funktionen wie:
– videowiedergabe ohne Werbung,
– 4K-Unterstützung und Download von Clips,
– Hintergrundwiedergabe von Musik,
– stabiler Betrieb bei schwacher Internetverbindung,
– Zugriff auf gesperrte oder „18+“-Inhalte
in Aussicht gestellt. Um diese Features zu erhalten, sollen Nutzer eine APK-Datei von einer Drittseite herunterladen und manuell installieren. Statt einer legitimen App gelangt dabei jedoch ein Android-Banking-Trojaner auf das Gerät.
Navigations-Apps, Polizeiposten-Karten und Bußgeld-Zahlungen
Parallel dazu tarnen Kriminelle ihre Malware als Navigationslösungen, Online-Karten von Verkehrspolizei-Posten sowie Apps zur Bezahlung von Verkehrsbußgeldern. Solche Angebote zielen auf eine breite Gruppe von Autofahrern, die häufig nach spezialisierten Apps außerhalb offizieller Stores suchen und bereit sind, die Option „Installation aus unbekannten Quellen“ zu aktivieren – ein zentrales Risiko bei Android-Geräten, das auch von Sicherheitsanbietern wie Kaspersky und ESET regelmäßig hervorgehoben wird.
Funktionen des Android-Banking-Trojaners: Vollzugriff auf Gerät und Finanzdaten
Die analysierte Malware verfügt über den typischen Funktionsumfang moderner Android-Banking-Trojaner, wie er auch in Berichten internationaler Sicherheitsanbieter beschrieben wird. Nach der Installation fordert die App weitreichende Berechtigungen an und erlangt damit unter anderem die Fähigkeit,
– SMS zu lesen und zu versenden (einschließlich mTANs und Bestätigungscodes),
– Telefonanrufe zu initiieren,
– Kontaktlisten und installierte Apps auszulesen,
– Informationen zur Netzwerkverbindung zu erfassen,
– sich beim Gerätestart automatisch zu aktivieren,
– eigene Oberflächenelemente über andere Apps zu legen (Overlay-Angriffe).
Gerade Overlay-Angriffe gelten als besonders kritisch: Der Trojaner legt ein täuschend echt aussehendes Fenster über eine legitime Banking-App. Nutzer glauben, ihre Zugangsdaten oder Kartennummer direkt bei ihrer Bank einzugeben, übermitteln sie aber in Wahrheit an die Angreifer. So lassen sich Login-Daten, PINs und Kreditkarteninformationen unbemerkt abgreifen.
In Kombination mit dem Zugriff auf SMS-TANs ermöglicht dies den Kriminellen nahezu vollständige Kontrolle über das Online-Banking der Opfer – von der heimlichen Kontoabfrage bis hin zu unautorisierten Überweisungen. Ähnliche Angriffsmuster wurden in den vergangenen Jahren auch bei Kampagnen mit Trojanern wie Anubis, Cerberus oder TeaBot beobachtet, wie aus öffentlichen Analysen von Google, ThreatFabric und anderen hervorgeht.
Warum diese Malware-Kampagne so erfolgreich ist
Die aktuelle Welle knüpft an einen schon länger sichtbaren Trend an: Laut mehreren Mobile-Threat-Reports großer Sicherheitsanbieter steigt die Zahl der Banking-Malware-Familien und -Kampagnen seit Jahren kontinuierlich an. Im konkreten Fall nutzen die Angreifer gleich mehrere Risikofaktoren aus:
– Eingeschränkter Zugang zu offiziellen Videoplattformen und das Bedürfnis, Sperren zu umgehen.
– Die verbreitete Bereitschaft, APK-Dateien von inoffiziellen Websites zu installieren, um Funktionen wie „YouTube ohne Werbung“ oder „TikTok 18+“ zu erhalten.
– Hohes Vertrauen in bekannte Marken (YouTube, TikTok, Navigations-Apps, staatlich anmutende Bußgeld-Services).
– Geringe Sensibilität für Banking-Trojaner im mobilen Umfeld im Vergleich zu klassischer PC-Malware.
Ähnliche Social-Engineering-Strategien wurden in der Vergangenheit bei gefälschten VPN-Apps, Messenger-Clients oder System-Cleanern beobachtet. Im aktuellen Szenario liegt der Schwerpunkt klar auf Videohosting-Diensten und Services rund um den Straßenverkehr, die in Russland besonders stark nachgefragt werden.
Nach Angaben von F6 sind die bisher identifizierten Domains zwar mittlerweile blockiert. Aufgrund der geringen Kosten und der schnellen Registrierung neuer Domains ist jedoch davon auszugehen, dass Folgekampagnen mit nahezu identischem Muster erscheinen werden.
Um das Risiko einer Infektion mit Android-Banking-Trojanern zu minimieren, sollten Nutzer Apps konsequent nur aus offiziellen Quellen wie Google Play oder Hersteller-eigenen App-Stores installieren, die Option „Installation aus unbekannten Quellen“ deaktiviert lassen und Berechtigungen kritisch prüfen – insbesondere bei Apps, die Zugriff auf SMS, Telefon oder Bedienungshilfen verlangen. Der Einsatz einer aktuellen mobilen Sicherheitslösung erhöht die Erkennungsrate zusätzlich. Fallen verdächtige Aktivitäten auf – etwa Overlays über Banking-Apps, unbekannte SMS oder unerklärliche Abbuchungen – ist es ratsam, umgehend die Bank zu kontaktieren, das Gerät zu überprüfen, Passwörter zu ändern und wenn nötig das Smartphone auf Werkseinstellungen zurückzusetzen.
