Banking-Trojaner haben sich seit den frühen mTAN-Zeiten dramatisch weiterentwickelt. Was einst als ziemlich sichere Zwei-Faktor-Authentifizierung galt, ist heute nur noch ein Baustein in einem komplexeren Sicherheitsgefüge. Cyberkriminelle nutzen mittlerweile raffinierteste Methoden, um sowohl eure PCs als auch Smartphones gleichzeitig zu kompromittieren.
Die Bedrohungslage 2026 ist deutlich komplexer geworden. Moderne Banking-Trojaner wie Flubot-Nachfolger, neue Varianten von Cerberus oder die gefürchteten TeaBot-Familien können nicht nur SMS abfangen, sondern auch Bildschirminhalte in Echtzeit manipulieren. Sie erstellen täuschend echte Overlay-Screens, die über eure Banking-Apps gelegt werden. Während ihr glaubt, eine normale Überweisung zu tätigen, läuft im Hintergrund eine völlig andere Transaktion ab.
Besonders perfide: Diese Malware kann heute auch biometrische Authentifizierung umgehen. Fingerabdruck-Sensoren und Face-ID werden durch sogenannte „Accessibility Services“ ausgetrickst. Die Trojaner tarnen sich als Barrierefreiheits-Apps und erhalten dadurch weitreichende Systemrechte. Einmal installiert, können sie praktisch alles überwachen und manipulieren.
Android-Geräte bleiben das Hauptziel, aber auch iPhones sind nicht mehr sicher. Über manipulierte Enterprise-Zertifikate oder Zero-Day-Exploits schaffen es Kriminelle mittlerweile auch auf iOS-Geräte. Die Zeiten, in denen iPhone-Nutzer sich entspannt zurücklehnen konnten, sind vorbei.
Die Angriffsvektoren haben sich vervielfacht. Während früher hauptsächlich SMS-Links die Infektionsquelle waren, nutzen Cyberkriminelle heute:
- Gefälschte Banking-Apps in alternativen App-Stores
- QR-Codes in Phishing-Mails, die auf manipulierte Webseiten führen
- Fake-Updates für beliebte Apps wie WhatsApp oder TikTok
- Social Engineering über Dating-Apps und soziale Netzwerke
- Kompromittierte Werbenetzwerke (Malvertising)
- USB-Angriffe an öffentlichen Ladestationen
Banken haben reagiert und ihre Sicherheitsmaßnahmen verschärft. Viele setzen heute auf App-basierte Push-Nachrichten statt SMS, nutzen erweiterte Geräte-Fingerprinting-Technologien und implementieren KI-gestützte Anomalieerkennung. Trotzdem gelingt es Kriminellen regelmäßig, diese Schutzmaßnahmen zu umgehen.
Ein aktueller Trend sind „Living-off-the-Land“-Angriffe. Dabei nutzen Trojaner bereits vorhandene, legitime System-Apps und -funktionen für ihre Zwecke. Das macht sie für Antiviren-Software praktisch unsichtbar. Sie verstecken sich in System-Prozessen oder missbrauchen Android-Features wie „Device Administrator“ oder „Notification Access“.
So schützt ihr euch effektiv:
Niemals unbekannte Apps installieren. Bleibt bei Google Play Store oder Apple App Store. Auch dort solltet ihr nur Apps von verifizierten Entwicklern laden. Prüft die Bewertungen und das Veröffentlichungsdatum kritisch.
Berechtigungen konsequent verweigern. Keine App braucht Zugriff auf SMS, Telefon UND Kamera gleichzeitig. Seid besonders vorsichtig bei Anfragen für „Bedienungshilfen“ oder „Device Administrator“-Rechte.
Banking nur mit dedizierten Geräten. Nutzt für Online-Banking idealerweise ein separates, älteres Smartphone, auf dem nur die Banking-App und sonst nichts installiert ist. Das klingt übertrieben, ist aber der sicherste Weg.
Regelmäßige Security-Checks. Prüft monatlich eure installierten Apps und löscht alles, was ihr nicht mehr braucht. Achtet auf ungewöhnlich hohen Akkuverbrauch oder Datenverkehr – das können Anzeichen für Malware sein.
Zwei-Faktor-Authentifizierung diversifizieren. Verlasst euch nicht nur auf SMS. Nutzt zusätzlich Hardware-Token, Authenticator-Apps oder biometrische Verfahren eurer Bank.
Netzwerk-Hygiene beachten. Öffentliche WLAN-Netze sind Einfallstore für Man-in-the-Middle-Angriffe. Banking nur im vertrauenswürdigen Heimnetz oder über mobile Daten.
Die Realität ist: Hundertprozentige Sicherheit gibt es nicht. Moderne Banking-Trojaner werden immer raffinierter und nutzen Zero-Day-Exploits, die selbst Sicherheitsexperten nicht kennen. Entscheidend ist ein mehrschichtiger Schutz und gesunder Menschenverstand.
Falls ihr trotz aller Vorsicht Opfer werdet: Sofort die Bank kontaktieren, alle Geräte vom Netz trennen und professionelle Hilfe holen. Viele Banken haben mittlerweile 24/7-Hotlines für solche Fälle. Je schneller ihr reagiert, desto höher die Chance, größeren Schaden zu verhindern.
Zuletzt aktualisiert am 24.04.2026
