Das Smartphone ist 2025 längst nicht mehr nur ein Kommunikationsmittel. Für viele von uns ist es Portemonnaie, persönlicher Tresor und Schlüssel zum digitalen Leben zugleich. Neben Messenger, Social Media und E-Mail haben wir ständig Zugriff auf unser Bankkonto, bestätigen Zahlungen per App – und machen unser Handy so zum bevorzugten Ziel für digitale Betrüger. Wer heute nicht aufpasst, kann schnell Opfer ausgeklügelter Tricks werden.
Man glaubt es kaum, aber jede installierte App kann Dutzende unterschiedliche Berechtigungen anfordern. Viele Nutzer*innen schauen nicht genau hin, von wem und wofür eine App stammt – und genau das sind die perfekten Bedingungen für Cyberkriminelle. Die Methoden werden immer raffinierter, und die Grenze zwischen echter und gefälschter Banking-App ist kaum noch zu erkennen. Besonders perfide: Häufig werden Schwächen im Nutzungsverhalten ausgenutzt, etwa die Gewohnheit, neue Dienste und Symbole einfach „durchzuwinken“.
So verschaffen sich Betrüger Zugriff auf Ihr Konto
Die wohl gängigste Masche ist Phishing: Sie erhalten eine scheinbar harmlose Nachricht, werden auf eine täuschend echte Webseite oder App geleitet – und sollen sich dort einloggen. Besonders gefährlich sind sogenannte Progressive Web Apps (PWA), die nicht im Google Play Store oder Apple App Store verfügbar sind, sondern direkt über einen Browser-Link installiert werden. Oberfläche, Logo, Bedienung – alles wirkt vertraut und sieht wie das Original aus.
Sobald Sie die Fälschung öffnen, fragt die App nach Benutzername und Passwort. Ebenso werden häufig Berechtigungen für SMS, Benachrichtigungen und mehr eingefordert, sodass Einmal-Codes für Bestätigungen abgefangen werden können.
Manche Apps verlangen zusätzlich Zugriff auf Mikrofon, Kamera, Standort und NFC – und damit auf weit mehr private Daten, als für Bankgeschäfte nötig sind. Besonders heikel: In einigen Fällen kann so sogar eine Fernsteuerung des Kontos ermöglicht werden. Überweisungen ins Ausland laufen dann im Hintergrund – oft ohne Wissen des Kontoinhabers.
Die Betrüger-Apps spähen nicht selten Tastatureingaben aus, lesen SMS mit TAN-Codes und beobachten die Bildschirmanzeige. Da sie nicht aus offiziellen Stores stammen, werden sie von Security-Apps häufig nicht rechtzeitig erkannt.
Vertrauen Sie nur Apps mit hoher Download-Zahl, guten Bewertungen und sichtbarem Original-Entwickler im offiziellen Store – bei Banken zum Beispiel Deutsche Bank, Sparkasse oder N26.
Konkrete Fälle gefälschter Banking-Apps
Auch deutsche Nutzer*innen sind bereits ins Visier solcher Tricks geraten. Laut IT-Sicherheitsexperten wie G DATA oder ESET wurden selbst bekannte Bankkunden Opfer neuartiger Apps, die Bankdienste täuschend echt nachahmen.
Beispiele für aktuelle Bedrohungen:
- NGate – Android-Malware, wird über gefälschte SMS verbreitet, liest Daten von kontaktlosen Zahlungskarten aus, übernimmt Kontozugänge und löst heimliche Überweisungen aus.
- ToxicPanda – Ein Banking-Trojaner, der Anmeldedaten ausliest, Sicherheitsabfragen (wie die PIN-Eingabe) überlagert und Fernzugriffe erlaubt.
- GodFather – Gibt sich als legitime Banking-App aus, kommt über gefälschte Updates oder Webseiten und späht SMS-TANs aus.
- Gefälschte PWA-Bankapps – Werden gezielt über Phishing-Links, Anzeigen oder Anrufe verteilt, meist außerhalb offizieller Stores. Die Betrüger geben sich oft als Bank-Support aus.
Der Zweck dieser Apps ist meist eindeutig: Sie bieten keinen echten Mehrwert, sondern dienen ausschließlich dazu, Ihre Zugangsdaten und persönlichen Informationen abzugreifen und ohne Ihr Wissen Transaktionen zu starten.
Besonders heimtückisch ist, dass einige dieser Apps anfangs völlig harmlos erscheinen – etwa als offizielle Anmeldeseite Ihrer Bank. Doch alles, was Sie eintippen, wird aufgezeichnet. Bei anderen wird die Schadsoftware erst dann aktiv, wenn Sie sich tatsächlich ins Online-Banking einloggen wollen.
Kombiniert mit Techniken wie sogenannten ATS (Automatic Transfer Systems) – bekannt etwa durch ToxicPanda – können so automatisierte Überweisungen selbst bei aktiviertem Zwei-Faktor-Verfahren eingeleitet werden, oft direkt ins Ausland.
Gefälschte Apps laufen oft dauerhaft im Hintergrund – auch während Sie normale Zahlungen durchführen.
So schützen Sie sich effektiv vor Banking-Betrug
Wachsamkeit ist der beste Schutz! Ein einziger Klick auf einen Phishing-Link kann reichen, um Ihr Konto zu gefährden. Wer digitale Gewohnheiten hinterfragt, ist klar im Vorteil.
Tipps von IT-Profis und Banken aus Deutschland:
- Installieren Sie Apps immer nur über offizielle Stores (Google Play, App Store). Vermeiden Sie Downloads über SMS, E-Mail oder Werbung.
- Prüfen Sie den Herausgeber – nur Apps namhafter Banken wie Deutsche Bank, Commerzbank, Sparkasse oder N26 sind sicher.
- Kontrollieren Sie die Berechtigungen – verweigern Sie Zugriffe auf Kontakte, SMS, Mikrofon, Standort oder Kamera, wenn nicht ausdrücklich nötig.
- Ignorieren Sie verdächtige Nachrichten. Banken fordern niemals dazu auf, über zugesandte Links Apps zu installieren oder Passwortinformationen zu bestätigen.
- Halten Sie System und Apps aktuell. Betriebssystem und Dienstleistungen regelmäßig updaten, um bekannte Sicherheitslücken zu schließen.
- Nutzen Sie verlässliche Sicherheitssoftware – Tools wie ESET, Kaspersky oder Bitdefender können bekannte Trojaner erkennen und warnen.
- Bei Verdacht: sofort reagieren. Wenden Sie sich an Ihre Bank, ändern Sie Passwörter, sperren Sie im Zweifel das Konto und setzen Sie Ihr Smartphone auf Werkseinstellungen zurück.
