So entfernen Sie den Trojaner FvncBot von Ihrem Android-Gerät

Was für eine Art von Malware ist FvncBot?

FvncBot ist ein Trojaner, der auf Android-Betriebssysteme abzielt. Es handelt sich um ein multifunktionales Schadprogramm, das verschiedene Befehle auf infizierten Geräten ausführen und Overlay-Angriffe durchführen kann. Im Herbst 2025 wurde entdeckt, dass FvncBot unter dem Deckmantel einer App verbreitet wurde, die mit mBank in Verbindung stand – der viertgrößten Universalbankengruppe in Polen.

Übersicht über die Malware „FvncBot“

Die Infektionskette von FvncBot wird durch einen Loader ausgelöst. Getarnt als „Klucz bezpieczeństwa Mbank” („Mbank-Sicherheitsschlüssel”) fordert der Loader zur Installation einer „Play-Komponente” auf, um den sicheren und stabilen Betrieb der Anwendung zu gewährleisten („Komponent Play zapewnia bezpieczna i stabilna funkcjonalnosé aplikacji”). Nach der Installation werden die Benutzer aufgefordert, auf „AKTYWUJ” („Aktivieren”) zu klicken und damit FvncBot auszuführen.

Wie die meisten Android-spezifischen Schadprogramme nutzt auch diese Malware die Android Accessibility Services aus, die dazu dienen, Benutzern, die dies benötigen, zusätzliche Unterstützung bei der Interaktion mit dem Gerät zu bieten. Sie sind in der Lage, den Bildschirm zu lesen, Tastatureingaben zu liefern, den Touchscreen zu simulieren und auf andere Weise mit dem Gerät zu interagieren – daher erhält Schadsoftware, die diese Dienste missbraucht, deren volle Funktionalität.

FvncBot nutzt mehrere Anti-Erkennungstechniken, darunter Code-Verschleierung und die Möglichkeit, die Einschränkungen der Barrierefreiheitsdienste für Android-Betriebssysteme ab Version 13 zu umgehen. Nach erfolgreicher Infiltration liefert FvncBot detaillierte Anweisungen zur Aktivierung der Android-Barrierefreiheitsdienste.

Anschließend stellt der Trojaner eine Verbindung zu seinem C&C-Server (Command and Control) her. Zu den Befehlen, die FvncBot ausführen kann, gehören unter anderem: Abrufen einer Liste der installierten Apps, Öffnen von Anwendungen (einschließlich Startbildschirm, Systemeinstellungen usw.), Ändern der Lautstärke, Stummschalten/Aufheben der Stummschaltung des Geräts, Öffnen der Benachrichtigungsleiste, Sperren/Entsperren des Geräts, Ausführen von Gesten (z. B. Klicken, Wischen, Scrollen usw.), Simulieren der Tastatur, Einfügen von Text in Eingabefelder und die Zwischenablage, Erstellen von Screenshots, Aufzeichnen von Tastenanschlägen (Keylogging), Anzeigen von Overlays usw.

Die Fähigkeit der Malware, Overlay-Angriffe durchzuführen, ist ihre wichtigste Funktion. Wenn ein Opfer eine bestimmte Anwendung öffnet, überlagert FvncBot diese mit einem Phishing-Bildschirm, der die eingegebenen Daten (z. B. Anmeldedaten, personenbezogene Daten, Kredit-/Debitkartennummern usw.) aufzeichnet. Alternativ kann die Malware einen dunklen Bildschirm anzeigen, um ihre Aktivitäten (z. B. betrügerische Transaktionen, Käufe usw.) zu verbergen. Dieser Trojaner kann auch den Bildschirm des Opfers nahezu in Echtzeit streamen.

Es muss erwähnt werden, dass Malware-Entwickler ihre Software und Techniken häufig verbessern. Daher könnten potenzielle zukünftige Varianten des FvncBot-Trojaners zusätzliche/andere Funktionen und Merkmale aufweisen.

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Schadsoftware wie FvncBot auf Geräten zu schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.

Ähnliche Malware-Beispiele

Wir haben bereits über unzählige Schadprogramme berichtet; Sturnus, Klopatra und Datzbro sind nur einige unserer neuesten Artikel über Trojaner, die FvncBot ähneln.

Malware ist ein weit gefasster Begriff, der Software mit einer Vielzahl von bösartigen Funktionen umfasst. Diese Programme können multifunktional sein oder einen bestimmten, begrenzten Zweck erfüllen. Unabhängig davon, wie eine bösartige Software funktioniert, gefährdet ihre Präsenz auf einem System die Integrität des Geräts und die Sicherheit des Benutzers. Daher müssen alle Bedrohungen sofort nach ihrer Erkennung beseitigt werden.

Wie hat sich FvncBot auf mein Gerät eingeschleust?

Es wurde beobachtet, dass FvncBot unter dem Deckmantel einer Sicherheits-App von Mbank verbreitet wird. Die Verbreitungsmethode ist jedoch unbekannt. Im Allgemeinen wird Malware mithilfe von Phishing- und Social-Engineering-Taktiken verbreitet.

Zu den gängigsten Verbreitungstechniken gehören: verdächtige Download-Quellen (z. B. Freeware- und kostenlose File-Hosting-Seiten, P2P-Tauschbörsen, App-Stores von Drittanbietern usw.), Drive-by-Downloads (heimliche/betrügerische Downloads), Malvertising, bösartige Anhänge oder Links in Spam-Mails (z. B. E-Mails, PMs/DMs, Social-Media-Beiträge, SMS usw.), Online-Betrug, Raubkopien, illegale Software-Aktivierungstools („Cracks“) und gefälschte Updates.

Einige Schadprogramme können sich über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Wie kann man die Installation von Malware vermeiden?

Vorsicht ist der Schlüssel zur Gewährleistung der Sicherheit von Geräten und Benutzern. Informieren Sie sich daher immer über Software, indem Sie die Nutzungsbedingungen und Bewertungen von Experten/Benutzern lesen, die erforderlichen Berechtigungen überprüfen und die Berechtigungen des Entwicklers überprüfen. Laden Sie Software nur von offiziellen und verifizierten Quellen herunter. Aktivieren und aktualisieren Sie Programme mit legitimen Funktionen/Tools, da solche von Drittanbietern Malware enthalten können.

Seien Sie beim Surfen wachsam, da das Internet voller irreführender und bösartiger Inhalte ist. Öffnen Sie keine Anhänge oder Links in verdächtigen/irrelevanten Nachrichten (z. B. E-Mails, PMs/DMs, SMS usw.).

Es ist äußerst wichtig, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit Hilfe von Sicherheitssoftware müssen regelmäßige Systemscans durchgeführt und erkannte Bedrohungen entfernt werden.

Vom Loader bereitgestellte Schritte zur Installation des Trojaners FvncBot (Bildquelle – Intel 471 Blog):

Schritte, die der Trojaner FvncBot ausführt, um die Eingabehilfen zu aktivieren (Bildquelle – Intel 471 Blog):

Schnellmenü:

• Einleitung
• Wie kann man den Browserverlauf aus dem Chrome-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie kann man den Browserverlauf aus dem Firefox-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie kann man potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Batterieverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man den Datenverbrauch verschiedener Anwendungen überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie kann man das System auf den Standardzustand zurücksetzen?
• Wie kann man Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie „Verlauf“ aus dem sich öffnenden Dropdown-Menü.

Tippen Sie auf „Browsingdaten löschen“, wählen Sie die Registerkarte „Erweitert“, wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Einstellungen“ aus.

Scrollen Sie nach unten, bis Sie die Option „Website-Einstellungen“ sehen, und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen, und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & Zurücksetzen“. Dadurch werden die Berechtigungen für diese Websites zum Senden von Benachrichtigungen entfernt. Wenn Sie jedoch dieselbe Website erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie sich dagegen entscheiden, wird die Website in den Abschnitt „Blockiert“ verschoben und fragt Sie nicht mehr nach der Berechtigung).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Datentypen aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der URL-Leiste (das Symbol muss nicht unbedingt „Sperren” lauten) und wählen Sie „Website-Einstellungen bearbeiten”.

Wählen Sie im geöffneten Pop-up-Fenster die Option „Benachrichtigungen“ und tippen Sie auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. weil eine Fehlermeldung angezeigt wird), sollten Sie den „abgesicherten Modus“ verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „abgesicherte Modus” im Android-Betriebssystem deaktiviert vorübergehend alle Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. das Entfernen bösartiger Anwendungen, die Sie daran hindern, dies zu tun, wenn das Gerät „normal” läuft).

Drücken Sie die Taste „Power“ und halten Sie sie gedrückt, bis der Bildschirm „Power off“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Batterieverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Seriöse/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um die bestmögliche Benutzererfahrung zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Verbindungen“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung” sehen, und wählen Sie diese Option aus. Wie beim Akku sind legitime/echte Anwendungen so konzipiert, dass sie die Datennutzung so weit wie möglich minimieren. Das bedeutet, dass eine hohe Datennutzung auf das Vorhandensein einer bösartigen Anwendung hindeuten kann. Beachten Sie, dass einige bösartige Anwendungen möglicherweise so konzipiert sind, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit von Geräten geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen ausgenutzt werden können. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen” und überprüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen” zu aktivieren. Damit wird das System Sie benachrichtigen, sobald ein Update verfügbar ist, und/oder dieses automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Das System auf den Standardzustand zurücksetzen:

Das Durchführen eines „Zurücksetzen auf Werkseinstellungen” ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten usw. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach nur die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen“ sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie ausführen möchten:
„Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
„Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese Rechte nicht haben sollten.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Weitere Sicherheitseinstellungen“ sehen, tippen Sie darauf und dann auf „Geräteadministrator-Apps“.

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und dann auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Android-Gerät ist mit der Malware FvncBot infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?

Das Entfernen von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die die Malware FvncBot verursachen kann?

Die mit einer Infektion verbundenen Gefahren variieren je nach den Fähigkeiten der Malware und den Zielen der Angreifer. FvncBot ist ein Trojaner, der den Bildschirm des Opfers streamen, Phishing-Overlays anzeigen, Tastatureingaben aufzeichnen und andere böswillige Aktionen ausführen kann. Im Allgemeinen ist hochriskante Malware mit schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl verbunden.

Was ist der Zweck der FvncBot-Malware?

Malware wird vorwiegend zu Gewinnzwecken eingesetzt. Weitere mögliche Gründe sind Prozessstörungen (z. B. Websites, Dienste, Unternehmen usw.), Angreifer, die Spaß haben oder persönliche Rache üben wollen, Hacktivismus sowie politische/geopolitische Motive.

Wie hat sich die Malware „FvncBot“ auf mein Android-Gerät eingeschleust?

Die Verbreitung von FvncBot ist zwar unbekannt, jedoch wurde es als Sicherheits-App von mBank getarnt. Zu den am häufigsten verwendeten Methoden zur Verbreitung von Malware gehören: Malvertising, Spam-E-Mails/Nachrichten, Online-Betrug, Drive-by-Downloads, dubiose Download-Quellen, raubkopierte Inhalte, gefälschte Updater und illegale Software-Aktivierungstools („Cracks“). Einige Schadprogramme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner ist in der Lage, praktisch alle bekannten Malware-Infektionen zu erkennen und zu entfernen. Denken Sie daran, dass eine vollständige Systemprüfung unerlässlich ist, da sich hochentwickelte Schadprogramme in der Regel tief im System verstecken.