Neue Android-Banking-Malware nutzt gefälschten KYC-Workflow und WhatsApp-Lieferung zur Kontoübernahme

Nachdem die Benutzer den Ablauf abgeschlossen haben, behauptet eine gefälschte Bestätigungsnachricht, dass „die Verifizierung im Gange ist“, während alle übermittelten Daten bereits an einen entfernten, vom Angreifer kontrollierten Server unter jsonapi[.]biz übertragen werden.

Cyfirma-Forscher identifizierten diese Kampagne im April 2026 und stellten fest, dass KYCShadow als zweistufiger Dropper konzipiert ist.

Die erste fungiert als Loader, der einen sekundären bösartigen Payload im Hintergrund stumm entschlüsselt und einsetzt, indem er die fähigsten Komponenten während der Anfangsphase verbirgt, um eine frühzeitige Erkennung zu vermeiden.

Technischer Hintergrund

Sobald der sekundäre Payload aktiv ist, fordert er Berechtigungen für den SMS-Zugriff, die Steuerung für die Akkuoptimierung.

Diese ermöglichen es der Malware, TANs in Echtzeit abzufangen, SMS-Nachrichten aus der Ferne zu senden und weiterzuleiten, Anrufe ohne Benutzereingabe zu tätigen und im Hintergrund weiter zu arbeiten, selbst wenn das Gerät inaktiv ist.

Der Payload versteckt sich auch vor dem App-Launcher des Geräts und hinterlässt keine sichtbare Spur auf dem infizierten Telefon. Zu diesem Risiko kommt hinzu, dass die Malware einen Full-Tunnel-VPN-Dienst aktiviert, der den gesamten Gerätetrafik durch eine vom Angreifer kontrollierte Schicht leitet.

Technik und Auswirkungen

Dies gibt dem Bedrohungsakteur die Möglichkeit, ausgehende Verbindungen zu Sicherheitsdiensten zu überwachen, zu filtern oder zu blockieren, wodurch die Fähigkeit des Geräts zur Erkennung oder Meldung der Infektion reduziert wird.

Multi-Stage Infection Mechanism Die Infektion beginnt in dem Moment, in dem die Dropper-Anwendung gestartet wird, und zeigt einen trügerischen Bildschirm „Update erforderlich“ mit einem einzigen Button mit der Beschriftung „Update installieren“, der so gestaltet ist, dass er einem Standard-System-Prompt ähnelt, den die meisten Benutzer ohne Nachzudenken antippen würden.

Malware Attack Chain (Quelle – Cyfirma) Das Klicken auf den Button löst eine VPN-Verbindungsanfrage aus, gefolgt, der die Installation erlaubt.

Sobald beide Genehmigungen erteilt wurden, beginnt

Sobald beide Genehmigungen erteilt wurden, beginnt der Dropper, eine eingebettete Nutzlast mithilfe eines XOR-basierten Algorithmus zu entschlüsseln, der spezifisch an seinen eigenen Paketnamen gebunden ist.

APK Manifest Profiling (Quelle – Cyfirma) Dies bedeutet, dass die Nutzlast nicht extrahiert oder analysiert werden kann, ohne sowohl den genauen Paketnamen als auch die Entschlüsselungslogik zu kennen, was den Prozess für Sicherheitsforscher erheblich erschwert.

Die entschlüsselte Datei wird in den temporären internen Speicher geschrieben und ohne zusätzliche Benutzerinteraktion über die Android PackageInstaller API still installiert. Die sekundäre Nutzlast, identifiziert als com.am5maw3.android, startet im Hintergrund und unterdrückt sofort ihr eigenes Launcher-Symbol, um verborgen zu bleiben.

Technischer Hintergrund

Sie registriert sich bei Firebase Cloud Messaging und richtet einen persistenten, push-basierten Fernbefehlskanal für den Angreifer ein.

WebView-Phishing-Bildschirm, der Benutzer auffordert, ihre Aadhaar-Nummer und ihr Geburtsdatum einzugeben (Quelle – Cyfirma) Unterstützte Befehle umfassen die Echtzeit-SMS-Abfangen, die Massen-Posteingabe-Extraktion, die Fernanrufplatzierung und die USSD-basierte Anrufweiterleitung, die alle ohne sichtbare Anzeichen auf dem infizierten Gerät ausgeführt werden.

Benutzer sollten keine Anwendungen installieren, die über WhatsApp, SMS oder Messaging-Kanäle empfangen wurden, insbesondere solche, die angeblich Bank- oder KYC-Updates anbieten.

Technik und Auswirkungen

Laden Sie Banking-Apps immer aus offiziellen Quellen herunter, lassen Sie die Berechtigung „Unbekannte Apps installieren“ deaktiviert und geben Sie niemals Anmeldedaten oder Kartendetails in nicht verifizierte Schnittstellen ein.

Jede unerwartete VPN-Aufforderung, unbekannte Berechtigungsanfragen oder ungewöhnliche SMS-Aktivität sollten unverzüglich der zuständigen Bank gemeldet werden. Finanzinstitute und Sicherheitsteams sollten den Datenverkehr zu jsonapi[.]biz, jsonserv[.]biz und jsonserv[.]xyz auf Netzwerkebene sofort blockieren.

Die Bereitstellung ösungen, die gestagertes Dropper-Verhalten, unbefugte Berechtigungsnutzung und versteckte App-Payloads erkennen, hilft Organisationen, auf Kampagnen dieser Art schneller zu reagieren.