Ein klares Beispiel ist die Familie namens PixRevolution, analysiert von Zimperium. Diese Malware hat sich auf Brasilien konzentriert und sein Hauptziel ist die Pix Instant-Zahlungsplattform. Anstatt nur Anmeldeinformationen zu stehlen, Warten Sie auf den genauen Moment, wenn das Opfer einen Transfer startet, den Bildschirm erfasst und den "Pix-Schlüssel" des Empfängers ersetzt mit dem des Angreifers, alles während der Anzeige eines falschen Ladebildschirms, so dass das Opfer nicht vermutet. Da Transfers über Pix sofort und endgültig sind, ist Geldrückgewinnung oft äußerst kompliziert. Weitere technische Details finden Sie im Bericht Zimperium und in der offiziellen Dokumentation über Pix der Zentralbank von Brasilien: Zimperium - PixRevolution und Banco Central do Brasil - Pix.
Eine weitere beunruhigende Familie in Brasilien gefunden ist BeatBanker. Kaspersky-Wissenschaftler zeigen, dass ihre Verteilung auf Seiten basiert, die den Antragsspeicher zu täuschenden Opfern imitieren. BeatBanker kombiniert mehrere Funktionen: eine Bergbaukomponente von Kryptomonedas, ein Bankmodul mit Overlay, das Zieladressen in Transfers (z.B. USDT) und unorthodoxe Mechanismen ersetzt, um im System aktiv zu bleiben. Es überrascht seine Beharrlichkeit Trick: es reproduziert eine fast unhörbare Audiodatei in Schleife, um es schwierig zu machen, dass das Betriebssystem seinen Prozess zu töten. Kasperskys Analyse beschreibt diese Verhaltensweisen und die Verteidigung, die die Probe verwendet: Kaspersky - BeatBanker.
In der gleichen Linie von Hybrid-Bedrohungen gibt es axiSpy RAT, die die Usurpation von Schnittstellen (Überlagerung) mit vollständiger Überwachung des Gerätes kombiniert. Diese Familie missbraucht die Zugänglichkeitsdienste und die Screenshot-API, um SMS-Nachrichten, Anrufaufzeichnungen, Kontakte, Clipboard-Inhalte, Sperrmuster und sogar Schlüsselklicks zu sammeln. Es beinhaltet auch Vermeidungstechniken, native Buchführung Verschlüsselung und VNC-Typ Fernbedienung über WebSocket. Berichte von CYFIRMA und anderen Unternehmen sammeln Muster und Zeichen, die die Autoren versuchen, Unterschriften und schwarze Listen zu umgehen: CYFIRMA - TaxiSpy und Zimperium - IOCs TaxiSpy.
Neben privaten Familien wird das kriminelle Ökosystem kommerziell organisiert. Es gibt Produkte, die in Form von Abonnement oder Einzelzahlung angeboten werden und diese Fähigkeiten den Käufern mit wenig technischem Wissen zur Verfügung stellen. Mirax wurde zum Beispiel als privater Service mit Banküberlagerung, Presseregistrierung und SOCKS5 Proxy zu Preisen gefördert, die in Foren offenbart wurden. Ein weiterer neuer Fall ist Oblivion, eine RAT, die mit dem Versprechen verkauft wird, Schutz von mobilen Herstellern zu entfernen und die Erteilung von Berechtigungen in benutzerdefinierten Android-Schichten zu automatisieren (Samsung, Xiaomi, OPPO, etc.). Diese Entwicklungen wurden von Analysten und Publikationen nach dem Verkauf dieser Bedrohungen entdeckt und diskutiert: Veröffentlichung über Mirax und Analyse von Olivion von Certo.
Ein zusätzlicher kommerzieller Vektor ist SURXRAT, verteilt durch Kanäle in Telegram und betrachtete eine Entwicklung früherer Familien. SURXRAT nutzt Zugänglichkeitsgenehmigungen und Firebase-basierte Infrastruktur für die Kommunikation mit seinen Betreibern. Das beunruhigendste: Einige Kopien laden ein großes Sprachmodell (LLM) Modul unter sehr spezifischen Bedingungen herunter - zum Beispiel, wenn sie erkennen, dass das Opfer bestimmte Spiele installiert hat - und beinhalten auch "locker" Module, die den Bildschirm blockieren, indem sie nach Rettung fragen. Der Bericht Cyble untersucht diese aufstrebenden Fähigkeiten und schlägt vor, dass Angreifer testen, IA in ihre Werkzeuge zu integrieren: Cyble - SURXRAT und LLM.
Wie kommen diese Bedrohungen am Telefon? Die Angriffe kombinieren soziale und technische Techniken: Seiten, die den offiziellen Speicher simulieren, APKS "Dropper", um die Installation von Google Play zu zwingen, Anträge auf Zugänglichkeitsgenehmigungen, die volle Kontrolle erleichtern, legitime APIs wie MediaProjection, um Bildschirm und Dienste wie Firebase zu erfassen, um Remote-Bestellungen zu empfangen. Mit diesen Zutaten können Angreifer den Bildschirm in Echtzeit anzeigen, falsche Ansichten überlagern, um die angezeigten Informationen zu ändern und Remote-Befehle auszuführen.
Die technologische Entwicklung von Malware beinhaltet auch Verbesserungen in seinem Engineering, um Analyse zu vermeiden: native Bibliothek Verschlüsselung, Kettenoptik, emulierte Umweltkontrollen und Persistenzmechanismen, die es schwierig zu entfernen. Schlimmer noch, das Modell "Malware als Service" senkt die Eingabebarriere: Jeder mit Ressourcen kann diese Werkzeuge mieten oder kaufen und gezielte Kampagnen starten.
Vor diesem Hintergrund gibt es praktische Maßnahmen, die jeder sofort umsetzen kann, um das Risiko zu reduzieren. Laden Sie keine Anwendungen von verdächtigen Seiten oder Links herunter; immer bevorzugen Sie den offiziellen Speicher und überprüfen Sie den Ruf des Entwicklers. Erteilen Sie keine Zugänglichkeitsgenehmigungen für Anträge, die sie nicht ausdrücklich benötigen und regelmäßig überprüfen, welche Apps dieses Privileg haben. Halten Sie das Betriebssystem und die Anwendungen aktuell, aktivieren Sie die Google Play Protect Schutz und verwenden Sie zusätzliche Authentifizierung (Banknotizen, Betriebscodes, 2FA) für Banktransaktionen. Wenn es Zweifel an einer Übertragung gibt, wenden Sie sich sofort an das Finanzinstitut: in Instant-Operationen wie Pix Zeit ist unerlässlich. Weitere Anleitungen zum Schutz von Google Play finden Sie in der Dokumentation Play Protect: Google Play Protect.
Die Entstehung von IA-basierten Komponenten in schädlichen Paketen ist eine Warnung: Angreifer erleben neue Möglichkeiten, die Interaktion mit dem Opfer zu automatisieren, Angriffe anzupassen und Erkennungen zu vermeiden. Dies bedeutet nicht nur eine größere technische Raffinesse, sondern auch die Notwendigkeit von Verteidigungs- und Regulierungsmaßnahmen, sich im gleichen Tempo voranzutreiben. In der Zwischenzeit bleibt der beste Impfstoff die Vorsicht des Benutzers und eine schnelle Reaktion auf irgendwelche Anzeichen einer verdächtigen Aktivität.
Wenn Sie denken, dass Ihr Gerät beeinträchtigt wurde, trennen Sie es von Netzwerken, schalten Sie Passwörter von einem anderen sicheren Team und kontaktieren Sie Ihre Bank, um Operationen zu blockieren. Die Meldung des Vorfalls an lokale Behörden und Sicherheitsdienste hilft, diese Kampagnen zu planen und zu stoppen. Die Bedrohung wächst und ist professionell, aber mit Vorbeugung und schnelle Reaktion kann der Schaden minimiert werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...