Mobil, Nachrichten

Kriminelle mieten virtuelle Telefone, um die Sicherheitsvorkehrungen der Banken zu umgehen

von Pieter Arntz | März 27, 2026
Cloud-Telefon mit Maske

Forscher von Group-IB warnen davor, dass Kriminelle virtuelle Android nutzen, um moderne Sicherheitslösungen zu umgehen.

Cloud-Telefone sind virtuelle Android , die die Merkmale realer Geräte (Modell, Hardware, IP-Adresse, Zeitzone, Sensordaten, Verhalten) vollständig nachahmen können. Dadurch können sie die gerätebasierte Betrugserkennung von Banken unterlaufen.

Ursprünglich bestanden Telefonfarmen aus physischen Geräten und wurden zu Testzwecken eingerichtet. Ihre Zahl stieg, als Unternehmen erkannten, dass sie virtuelle Telefone mieten und damit Interaktionskennzahlen wie Followerzahlen, Likes, Shares und Ähnliches künstlich in die Höhe treiben konnten. Ein weiterer Wachstumsschub wurde durch die Verlagerung der Infrastruktur von physischen Telefonfarmen auf Cloud-Telefone ausgelöst.

Irgendwann fanden Cyberkriminelle heraus, wie sie diese „Miethandys“ nutzen konnten, um Menschen dazu zu bringen, ihnen Zugriff auf Bankkonten und Krypto-Wallets zu gewähren, die anschließend leergeräumt wurden.

Die Banken erkannten diese Taktiken und begannen, mobile Apps zu entwickeln, die auf Geräte-Fingerprinting basieren. So konnten sie gefälschte Geräte, die die Konten von Nutzern übernahmen, erkennen und blockieren.

Doch wie bei jedem Wettrüsten haben Kriminelle auch hierfür einen Weg gefunden. Sie „wärmen“ die Geräte nun vor, indem sie Banking-Apps installieren, Zugangsdaten hinterlegen und kleine Transaktionen durchführen, damit die Konten und die Gerätedaten als risikoarm erscheinen.

Die Forscher stellen fest, dass:

„Sie sind auf Cloud-Telefone umgestiegen – Android mit Fernzugriff, die in Rechenzentren betrieben werden. Im Grunde genommen handelt es sich dabei um echte Telefone, auf denen originale Firmware läuft, die ein natürliches Sensorverhalten aufweisen und eine gültige Hardware-Bescheinigung vorweisen.“

Und für die Kriminellen ist das keine große Investition. Große Cloud-Telefonie-Plattformen bieten Gerätevermietungen für nur 0,10 bis 0,50 Dollar pro Stunde an, wodurch die Infrastruktur für Betrugsdelikte für fast jeden zugänglich ist.

Ein Anwendungsbereich dieser Geräte sind Handyspiele mit Echtgeld-Wirtschaftssystemen. Diese Spiele haben seit langem mit einem bestimmten Problem zu kämpfen: dem „Bot-Farming“ von Spielwährung und Ressourcen. In vielen Fällen können automatisierte Konten Spielgegenstände generieren, die einen realen Wert haben.

Banken stehen vor einem anderen Problem: Angriffen durch Kontoübernahme (Account Takeover, ATO). Da sich das Bankgeschäft von Webbrowsern hin zu mobilen Apps verlagert hat, benötigten sie zuverlässigere und umfassendere Methoden zur Identifizierung vertrauenswürdiger Geräte. Viele Banken binden Konten mittlerweile an bestimmte Geräte und kennzeichnen Überweisungen, die nicht von diesem Gerät stammen.

Der Beginn eines Angriffs ist immer noch Social Engineering. Kriminelle versuchen, Nutzer dazu zu verleiten, Einmalpasswörter (OTPs) preiszugeben, eine Anmeldung zu bestätigen oder eine Überweisung „auf ein sicheres Konto“ zu tätigen.

Hinter den Kulissen meldet sich der Kriminelle bei einer Cloud-Telefon-Instanz an, die für die Bank dank übereinstimmender oder plausibler Fingerabdrücke und vorab eingespielter Verhaltensmuster bereits wie das Gerät des Opfers aussieht.

Sobald die Kriminellen Zugriff haben, führen sie autorisierte Push-Zahlungen (APP) durch (oft auf Konten von Geldkurieren ), die von den Banksystemen möglicherweise als risikoarm eingestuft werden, da am Gerät nichts offensichtlich verdächtig erscheint.

Ab diesem Zeitpunkt können die Kriminellen damit beginnen, Ihr Konto zu plündern oder die virtuellen Telefone an andere Kriminelle zu verkaufen. Den Forschern zufolge:

„Auf Darknet-Marktplätzen werden vorab verifizierte Dropper-Konten, die auf Cloud-Telefonen erstellt wurden, aktiv gehandelt; Revolut- und Wise-Konten kosten jeweils 50 bis 200 US-Dollar, wobei oft auch der fortgesetzte Zugriff auf die Cloud-Telefon-Instanz inbegriffen ist.“

Wie man sicher bleibt

Die Forscher von Group-IB raten den Endnutzern zu Folgendem:

  • Führen Sie Kontoverifizierungsprozesse niemals auf Anweisung Dritter durch. Beachten Sie, dass Banken und Behörden ihre Kunden niemals auffordern, Konten über unbekannte Apps oder in Remote-Umgebungen zu verifizieren.
  • Aktivieren Sie gerätebasierte Sicherheitsfunktionen. Nutzen Sie offizielle Mobile-Banking-Apps, biometrische Authentifizierung und strenge Sicherheitseinstellungen auf Geräteebene.
  • Seien Sie vorsichtig bei Angeboten für „leicht verdientes Geld“, bei denen Bankkonten eine Rolle spielen. Dazu gehören gefälschte Stellenangebote, bei denen Sie Bankkonten „überprüfen“ sollen, Regierungsbeamte, die eine Kontoüberprüfung verlangen, sowie Bankmitarbeiter, die Sie auffordern, Geld auf „sichere“ Konten zu überweisen.
  • Wenn Sie den Verdacht haben, Opfer eines Angriffs geworden zu sein, wenden Sie sich umgehend an Ihre Bank. Ändern Sie Ihre Passwörter und aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Konten.

Wir möchten hinzufügen:

  • Aktivieren Sie nach Möglichkeit Benachrichtigungen zu Anmeldungen, Änderungen bei Zahlungsempfängern und Transaktionen, damit Sie ungewöhnliche Aktivitäten sofort erkennen.
  • Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung für Ihr Android -Gerät, um Datendiebe zu erkennen und zu stoppen.
  • Wenn Sie bei einer Nachricht Zweifel haben, wenden Sie sich an Malwarebytes Guard. Das Tool hilft Ihnen dabei, herauszufinden, ob es sich um einen Betrugsversuch handelt, und zeigt Ihnen, wie Sie vorgehen sollten.

Wir berichten nicht nur über Telefonsicherheit - wir bieten sie auch

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Halten Sie Bedrohungen von Ihren mobilen Geräten fern, indem Sie noch heute Malwarebytes für iOS und Malwarebytes für Android herunterladen.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Nachrichten
Mit einem Trojaner infiziertes Avast verbreitet den Venom Stealer

Gefälschte Avast-Website täuscht einen Virenscan vor und installiert stattdessen den Venom Stealer

März 27, 2026

Ein gefälschter Avast-Scan meldet Ihnen, dass Ihr PC infiziert ist, und installiert anschließend die Malware, die Passwörter, Sitzungsdaten und Krypto-Wallets stiehlt.

Nachrichten
Apple-Logo vor einem Kettenhintergrund

Infiniti Stealer: Ein neuer Infostealer für macOS, der ClickFix sowie Python und Nuitka nutzt

März 26, 2026

Ein neuer macOS-Infostealer namens NukeChain (jetzt Infiniti Stealer) nutzt gefälschte CAPTCHA-Seiten, um Nutzer dazu zu verleiten, schädliche Befehle auszuführen.

Nachrichten
GlassWorm identifiziert

Der „GlassWorm“-Angriff installiert eine gefälschte Browser-Erweiterung zur Überwachung

März 26, 2026

Es versteckt sich in den Entwicklertools, überwacht dort die Aktivitäten und stiehlt Daten, wodurch aus einer einzelnen Infektion ein weitreichendes Risiko für die gesamte Lieferkette wird.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug