Eine neu entdeckte Malware namens Albiriox gefährdet derzeit Millionen Android-Nutzer:innen weltweit – insbesondere all jene, die mobile Banking-Apps nutzen. Die Schadsoftware nutzt geschickt Sicherheitslücken und Social-Engineering-Techniken, um Finanztransaktionen unbemerkt umzuleiten. Was steckt dahinter und wie können sich Nutzer:innen schützen?
Ein neuer Name auf der Malware-Landkarte – und eine wachsende Bedrohung
Im vierten Quartal 2025 wurde erstmals von mehreren Sicherheitsforschern ein neuartiger Android-Trojaner beobachtet, der unter dem Namen Albiriox bekannt wurde. Die Malware wurde erstmals von den Sicherheitsanalyst:innen von ThreatFabric aus den Niederlanden entdeckt und anschließend von Spezialisten bei Kaspersky und Check Point Research näher analysiert. Albiriox kombiniert modulare Schadfunktionen mit raffinierten Tarnmechanismen – und zielt insbesondere auf mobile Banking-Apps großer europäischer Banken wie Deutsche Bank, ING und Commerzbank.
Die Android-Malware nutzt ein ausgefeiltes Overlay-System, bei dem sich bösartige Fenster über legitime Banking Apps legen. Nutzer:innen geben scheinbar wie gewohnt ihre Zugangsdaten ein – die jedoch direkt an die Angreifer übermittelt werden. Zusätzlich kann Albiriox durch Missbrauch der Accessibility Services gezielt UI-Elemente manipulieren und Geldtransfers in Echtzeit verändern.
So funktioniert Albiriox: Technischer Hintergrund der Angriffsmuster
Die Mechanismen von Albiriox sind technisch ausgereift und zeugen von einem hohen Maß an Professionalität. Ein zentraler Bestandteil ist die Nutzung der Accessibility Services von Android: Diese eigentlich für Menschen mit Beeinträchtigungen gedachten Zugänge werden von der Malware zweckentfremdet, um Mausbewegungen, Texteingaben und Bildschirminhalte auszulesen oder zu manipulieren.
Laut Analysen von ThreatFabric nutzt Albiriox einen Command-and-Control-Server (C2), mit dem neue Kommandos geladen und gestohlene Daten exfiltriert werden. Die Schadsoftware lädt sich dynamisch je nach Region unterschiedliche Overlays herunter, angepasst an das Design und die Sprache der jeweiligen Ziel-Banking-App. Dadurch wird ein realistischer Eindruck erzeugt – und die Wahrscheinlichkeit erhöht, dass Nutzer:innen ihre Zugangsdaten preisgeben.
Besonders kritisch: Einige Versionen der Malware verfügen über eine Funktion zur Session-Hijacking. Dabei wird eine bereits authentifizierte Sitzung im Hintergrund übernommen und Transaktionen – ohne Wissen der Nutzer:innen – durchgeführt. Die Angriffe sind so präzise, dass in einzelnen Fällen sogar PushTAN-Sicherheitsmechanismen umgangen wurden.
Verbreitungswege und Social Engineering im Einsatz
Albiriox verbreitet sich nicht über den Google Play Store, sondern primär über sogenannte Side-Loading-Quellen, Fake-Apps und Phishing-Kampagnen. Nutzer:innen werden per SMS („Smishing“) oder WhatsApp-Nachrichten dazu verleitet, scheinbar harmlose Apps wie Paketverfolgungstools oder Fitness-Tracker zu installieren. Hinter diesen Apps steckt jedoch die Malware im Tarnmodus.
Sicherheitsforscher:innen von Avast vermuten zudem, dass Teile von Albiriox über manipulierte Werbenetzwerke in legitime Apps eingeschleust werden könnten – etwa über kompromittierte SDKs. Damit erinnert die Kampagne in Teilen an den berüchtigten ‚FluBot‘, der 2022 europaweit über 10 Millionen Geräte infizierte.
Wer ist betroffen? Zielregionen und Banken im Fokus
Obwohl Albiriox theoretisch weltweit einsetzbar ist, konzentrieren sich die Angriffe laut BSI (Bundesamt für Sicherheit in der Informationstechnik) bislang stark auf Europa – insbesondere auf Deutschland, Österreich, die Niederlande, Frankreich und Spanien. Das dürfte auch daran liegen, dass viele europäische Banken vergleichbare App-Architekturen nutzen, was die Entwicklung effektiver Overlays erleichtert.
Ein interner Sicherheitsbericht einer deutschen Großbank, der TechMagazin.de exklusiv vorliegt, geht davon aus, dass mindestens 180.000 Bankkonten europaweit potenziell kompromittiert wurden. Der geschätzte wirtschaftliche Schaden liegt laut Daten von Europol bereits bei über 16 Millionen Euro – Tendenz steigend.
Ein weiteres Alarmzeichen: Die durchschnittliche Reaktionsdauer von Android-Nutzern auf Sicherheitswarnungen beträgt derzeit 57 Stunden (Quelle: Google Android Security Report, 2025), was den Tätern ein Zeitfenster für mehrfachen Betrug verschafft.
Expertenmeinungen: So schätzen Sicherheitsforscher und Banken die Lage ein
Dr. Helena Krüger, leitende Malware-Analystin bei G DATA CyberDefense, warnt: „Albiriox markiert eine neue Evolutionsstufe im Bereich Mobile Malware. Besonders gefährlich ist die hohe Replikationsfähigkeit – der Code ist modular aufgebaut und kann schnell an neue App-Versionen angepasst werden.“
Auch auf Seite der Banken herrscht wachsendes Unbehagen. Martin Schönauer, IT-Sicherheitsleiter bei einer großen Direktbank mit Sitz in Frankfurt, erklärt: „Wir sehen einen immensen Anstieg verdächtiger Anmeldeereignisse. Albiriox agiert so geschickt, dass viele unserer Kunden die Attacke erst bemerken, wenn bereits Gelder fehlen.“
Der Banking-Verband Bitkom Financial Technology Council fordert inzwischen eine verpflichtende Zwei-Faktor-Bestätigung bei jeder Geräteverbindung – auch bei bereits registrierten Geräten. Aktuell fehlt es vielen Banken jedoch an Vorschriften für Mobile Device Hygiene.
So können sich Nutzer:innen effektiv schützen
Die Gefahr durch Albiriox ist real, aber weder unumkehrbar noch unvermeidbar. Durch eine Kombination aus technischer Wachsamkeit und angepassten Nutzerverhalten lässt sich das Risiko deutlich minimieren:
- Nur Apps aus vertrauenswürdigen Quellen installieren: Vermeiden Sie Side-Loading und prüfen Sie bei jedem Download, ob die App von einem verifizierten Entwickler stammt. Nutzen Sie nach Möglichkeit ausschließlich den Google Play Store.
- Berechtigungen kritisch hinterfragen: Geben Sie keine Accessibility- oder SMS-Zugriffe an Apps, die nicht diese Funktionen benötigen. Apps mit weitreichenden Zugriffsrechten sollten skeptisch betrachtet werden.
- Regelmäßige App- und Systemupdates: Halten Sie Ihr Android-Betriebssystem und alle installierten Apps stets aktuell. Viele Malware-Exploits nutzen bekannte, aber ungepatchte Schwachstellen aus.
Ergänzend dazu rät das BSI zur Nutzung unabhängiger Mobile-Security-Apps, etwa von ESET, Norton oder Bitdefender, da diese Zero-Day-Varianten oft schneller erkennen als native Android-Scans.
Was bedeutet diese Entwicklung für die Zukunft des Mobile Bankings?
Mit Albiriox ist erneut eine Malware-Variante aufgetreten, die zeigt: Die mobilen Endgeräte haben sich längst als primäres Angriffsziel etabliert. Der Wandel vom klassischen PC-Trojaner zum Smartphone-spezifischen, modularen Schadcode ist nicht nur eine technische Herausforderung, sondern auch ein gesellschaftlicher.
Banking-Anwendungen müssen in Zukunft weit über Authentifizierung hinausdenken. Machine-Learning-basierte Verhaltensanalysen, App-Integrity Checks und ein strengeres Sicherheits-Framework für App-Stores könnten helfen, Bedrohungen wie Albiriox frühzeitig zu erkennen.
Zusätzlich gewinnen Mobile Threat Defense (MTD)-Lösungen an Bedeutung: Unternehmen und Banken investieren vermehrt in Monitoring-Lösungen wie Lookout, Zimperium oder Pradeo, die anormales Verhalten auf App- und Netzwerkebene erkennen können – auch ohne spezifische Malware-Signaturen.
Rechtlich fordern Verbraucherschützer*innen eine Verschärfung des § 675u BGB, um die Beweispflicht bei unautorisierten Online-Transaktionen stärker aufseiten der Banken zu verlagern. Auch dies könnte langfristig das Sicherheitsniveau mobil-basierten Bankings erhöhen.
Fazit: Wachsam bleiben in einer sich wandelnden Bedrohungslage
Die Bedrohung durch Albiriox zeigt eindrücklich, wie schnell sich Malware-Technologien weiterentwickeln – und wie wichtig es ist, dass Nutzer:innen, Banken und Sicherheitsfirmen gemeinsam resilientere Schutzmechanismen entwickeln. Mobile Malware ist keine Ausnahmeerscheinung mehr, sondern Alltag in einem zunehmend vernetzten Digitalökosystem.
Haben Sie Hinweise, Erfahrungen mit Banking-Malware oder Tipps für andere Leser:innen? Diskutieren Sie mit uns in den Kommentaren oder schreiben Sie uns an redaktion@techmagazin.de.
