https://pepelac.news/de/posts/id20903-devixor-android-banktrojaner-mit-ransomware-erpressung

deVixor: Android‑Banktrojaner mit Ransomware-Erpressung

deVixor bedroht Android: Banktrojaner mit Ransomware-Erpressung

deVixor: Android‑Banktrojaner mit Ransomware-Erpressung

Neue Gefahr für Android: deVixor stiehlt Bankdaten, sperrt Geräte und fordert 50 TRX. Fake-Autoseiten als Köder, Steuerung über Telegram/Firebase. Achtung.

2026-01-14T10:21:03+03:00

Cybersicherheitsforscher warnen vor einer neuen, besonders riskanten Bedrohung für Android-Nutzer: einem Banktrojaner namens deVixor, der nicht nur Geld von den Konten der Opfer abzieht, sondern zusätzlich auf Erpressungsmethoden aus dem Ransomware-Repertoire setzt.Fachleute haben über 700 Varianten der Schadsoftware erfasst; die Angriffe laufen seit Oktober 2025. deVixor verbreitet sich über gefälschte Webseiten, die wie Auftritte bekannter Automarken wirken und vermeintliche Schnäppchen anpreisen. Besucher werden aufgefordert, eine APK herunterzuladen – angeblich eine App, um eine Bestellung aufzugeben oder mehr Informationen zu erhalten. Der Köder ist bewusst alltagstauglich und harmlos verpackt.Ist die App erst installiert, nistet sich der Trojaner unauffällig ein und beginnt zu arbeiten. Die Steuerung läuft über eine auf Telegram basierende Infrastruktur. Zusätzlich kommuniziert er mit Firebase-Servern, um Anweisungen zu empfangen und gestohlene Daten zu übermitteln – eine Kombination, die Erkennung und Abwehr spürbar erschwert, weil sie auf bekannten Plattformen aufsetzt.Das Hauptziel des Trojaners ist finanzieller Diebstahl. Er durchsucht SMS-Nachrichten auf dem kompromittierten Gerät nach Bankbenachrichtigungen und Einmalcodes und sammelt Kartennummern sowie Kontostände ein. Zudem missbrauchen die Angreifer WebView und JavaScript-Injektionen, um täuschend echte Bankseiten einzublenden, auf denen Betroffene ahnungslos ihre Zugangsdaten eingeben.Am verstörendsten ist das integrierte Erpressungsmodul. Auf Befehl können die Hintermänner den Bildschirm des Geräts sperren und eine Zahlungsaufforderung in der Kryptowährung TRON anzeigen – 50 TRX an eine bestimmte Adresse. Bis die Forderung erfüllt ist, bleibt das Telefon unbenutzbar und der Datendiebstahl wird zur handfesten Drucksituation.Das Auftauchen von deVixor zeigt, wie Täter ihre Werkzeuge stetig verfeinern und ihre Angriffsketten flexibler und gefährlicher machen. Fachleute raten Android-Nutzern, die Herkunft von Apps genau zu prüfen und keine APKs von nicht verifizierten Seiten zu installieren – erst recht nicht, wenn ein Angebot allzu verlockend wirkt. Am Ende ist eine Portion Skepsis oft der beste Schutz.

deVixor, Android, Banktrojaner, Ransomware, TRON, TRX, Telegram, Firebase, Fake-Autoseiten, APK, WebView, JavaScript-Injektion, Bankdaten, 2FA, SMS, Sperre, Erpressung, Malware, Sicherheit, Schutz

2026

Danny Weber

news

deVixor bedroht Android: Banktrojaner mit Ransomware-Erpressung

Neue Gefahr für Android: deVixor stiehlt Bankdaten, sperrt Geräte und fordert 50 TRX. Fake-Autoseiten als Köder, Steuerung über Telegram/Firebase. Achtung.

Danny Weber, Editor

10:21 14-01-2026

Fachleute haben über 700 Varianten der Schadsoftware erfasst; die Angriffe laufen seit Oktober 2025. deVixor verbreitet sich über gefälschte Webseiten, die wie Auftritte bekannter Automarken wirken und vermeintliche Schnäppchen anpreisen. Besucher werden aufgefordert, eine APK herunterzuladen – angeblich eine App, um eine Bestellung aufzugeben oder mehr Informationen zu erhalten. Der Köder ist bewusst alltagstauglich und harmlos verpackt.

Ist die App erst installiert, nistet sich der Trojaner unauffällig ein und beginnt zu arbeiten. Die Steuerung läuft über eine auf Telegram basierende Infrastruktur. Zusätzlich kommuniziert er mit Firebase-Servern, um Anweisungen zu empfangen und gestohlene Daten zu übermitteln – eine Kombination, die Erkennung und Abwehr spürbar erschwert, weil sie auf bekannten Plattformen aufsetzt.

Das Hauptziel des Trojaners ist finanzieller Diebstahl. Er durchsucht SMS-Nachrichten auf dem kompromittierten Gerät nach Bankbenachrichtigungen und Einmalcodes und sammelt Kartennummern sowie Kontostände ein. Zudem missbrauchen die Angreifer WebView und JavaScript-Injektionen, um täuschend echte Bankseiten einzublenden, auf denen Betroffene ahnungslos ihre Zugangsdaten eingeben.

Am verstörendsten ist das integrierte Erpressungsmodul. Auf Befehl können die Hintermänner den Bildschirm des Geräts sperren und eine Zahlungsaufforderung in der Kryptowährung TRON anzeigen – 50 TRX an eine bestimmte Adresse. Bis die Forderung erfüllt ist, bleibt das Telefon unbenutzbar und der Datendiebstahl wird zur handfesten Drucksituation.

Das Auftauchen von deVixor zeigt, wie Täter ihre Werkzeuge stetig verfeinern und ihre Angriffsketten flexibler und gefährlicher machen. Fachleute raten Android-Nutzern, die Herkunft von Apps genau zu prüfen und keine APKs von nicht verifizierten Seiten zu installieren – erst recht nicht, wenn ein Angebot allzu verlockend wirkt. Am Ende ist eine Portion Skepsis oft der beste Schutz.