Die App an sich wird, wie bereits gesagt, gar nicht erst bemerken, dass das System kompromittiert ist.
Und physischer Zugriff ist nicht zwingend notwendig.
Nochmals eine Ausgabe aus Gemini:
Um Banking-Apps zu kompromittieren, nutzen Angreifer in der Praxis selten eine einzelne „Super-Lücke“. Stattdessen kombinieren sie eine Kette von Schwachstellen (
Exploit-Chains).
Für Banking-Apps sind vor allem zwei Kategorien von CVEs (Common Vulnerabilities and Exposures) gefährlich:
Remote Code Execution (RCE), um Schadcode auf das Gerät zu bringen, und
Elevation of Privilege (EoP), um die Sicherheitsbarrieren (Sandboxen) von Android zu durchbrechen.
Da das Pixel 4 seit Anfang 2023 keine Kernel- und Treiber-Updates mehr erhält, ist es für viele dieser teils aktiv ausgenutzten Lücken anfällig. Folgende konkrete Schwachstellen-Typen und CVEs sind beim Einsatz von Banking-Apps brandgefährlich:
1. Das "Schnittstellen-Einfallstor": Kritische Bluetooth- & Medialücken
Diese Lücken ermöglichen es Angreifern, Schadcode ohne Interaktion des Nutzers auf das Gerät zu schleusen – beispielsweise über manipulierte Mediendateien im Browser oder Funkverbindungen.
- CVE-2026-0059 (Bluetooth Heap Overflow): Eine neuere, kritische Schwachstelle im Android-System. Ein Angreifer in Bluetooth-Reichweite kann Schadcode auf dem Gerät ausführen, ohne dass der Nutzer eine Bestätigung anklicken muss.
- CVE-2026-0006 (Critical System RCE): Ermöglicht die Ausführung von Remote-Code direkt auf Systemebene, ebenfalls komplett ohne Nutzerinteraktion.
2. Der "Sandbox-Ausbrecher": Android Framework & Kernel EoP
Normalerweise läuft jede App (auch eine Schad-App) in einer isolierten Umgebung (Sandbox). Sie kann nicht sehen, was in der Banking-App passiert. Privilegien-Eskalationen hebeln diesen Schutz aus.
- CVE-2025-48595 (Framework Integer Overflow): Diese Schwachstelle im Android-Framework wird aktiv von Angreifern ausgenutzt. Hat sich eine scheinbar harmlose App (z. B. ein vermeintliches Update oder ein Tool aus inoffiziellen Quellen) erst einmal auf dem Gerät eingenistet, erlaubt diese Lücke der App, im Hintergrund und völlig unbemerkt tiefgreifende Systemrechte zu erlangen.
- CVE-2025-48623 & CVE-2025-48637 (Kernel-level pKVM): Sicherheitslücken auf Kernel-Ebene sind der absolute Worst Case. Sie erlauben es Schadsoftware, die Kernschichten des Betriebssystems zu manipulieren. Ist der Kernel kompromittiert, verliert das System jegliche Kontrollfähigkeit darüber, welche App welche Daten liest.
3. Der "Grafiktreiber-Spion": Qualcomm Adreno GPU-Lücken
Da das Pixel 4 einen Qualcomm-Snapdragon-Prozessor nutzt, betreffen ihn Hardware-Treiberlücken besonders hart. Wenn der Grafiktreiber manipuliert werden kann, lässt sich im schlimmsten Fall der Bildschirminhalt abgreifen.
- CVE-2025-27038 (Qualcomm Adreno GPU Use-After-Free): Eine Schwachstelle beim Rendern von Grafiken (beispielsweise über den Webbrowser Chrome), die nachweislich von kommerziellen Spyware-Anbietern im Umlauf aktiv ausgenutzt wurde. Dadurch lässt sich Schadcode mit den Rechten des Grafiktreibers ausführen.
Was bedeutet das konkret für das Banking?
Wenn ein Angreifer eine Kombination aus den oben genannten Lücken (z. B.
CVE-2026-0059 zum Reinkommen und
CVE-2025-48595 zum Rechte-Eskalieren) auf dem Pixel 4 nutzt, sieht das Szenario so aus:
- Overlay-Angriffe: Die Schad-App legt sich unsichtbar oder als täuschend echtes Imitat über deine echte Banking-App. Wenn du deine PIN oder Passwörter eingibst, tippst du sie in die Schad-App.
- Keylogging & Screen-Scraping: Durch die ausgehebelte Sandbox kann die Malware unbemerkt Screenshots machen oder Eingaben protokollieren, während du deine Überweisung tätigst.
- TAN-Abfangen: Höhere Systemrechte erlauben es der App, den Benachrichtigungsdienst oder die SMS-Datenbank auszulesen. Die SMS-TAN oder Push-TAN der Bank wird abgefangen, an den Angreifer weitergeleitet und auf deinem Display sofort als „gelesen“ gelöscht, damit du nichts merkst.
