Android-Sicherheit ist ein Dauerthema – und Cyberkriminelle werden dabei nicht langsamer. Arsink ist ein Trojaner, der sich als bekannte App tarnt, sich durch gefälschte APK-Dateien verbreitet und nach der Installation weitreichenden Zugriff auf dein Gerät hat.
Wie funktioniert Arsink?
Arsink ist ein Remote-Access-Trojaner (RAT) – Angreifer können das Gerät aus der Ferne steuern, sobald die Schadsoftware installiert ist.
Verbreitet wird er über gefälschte APK-Dateien: Arsink tarnt sich als WhatsApp, Instagram, TikTok oder Facebook, meistens in Form von angeblichen „Pro“- oder „Mod“-Versionen mit versprochenen Zusatzfunktionen. Was du bekommst, ist Schadcode.
Was Arsink auf einem infizierten Gerät kann:
- SMS, Kontakte, Anruflisten und gespeicherte Dateien auslesen
- Standortdaten verfolgen
- Anrufe starten oder aufzeichnen
- Dateien löschen oder verändern
- Cloud-Dienste wie Google Drive zur Datenübertragung missbrauchen
Besonders kritisch wird es, wenn Smartphones beruflich genutzt werden – dann sind nicht nur private Daten in Gefahr, sondern auch Unternehmensinformationen.
Verbreitungswege
Arsink läuft vor allem über Messenger und Filehoster – Telegram, Discord, MediaFire. Dort kursieren Links zu gefälschten Apps, die auf den ersten Blick legitim wirken. Dass viele Nutzer in diesen Kanälen bereitwillig Apps installieren und Berechtigungen vergeben, macht sie zum bevorzugten Verbreitungsweg.
Gut zu wissen: Google bestätigt, dass die bekannten Arsink-Varianten nicht über den offiziellen Play Store verteilt werden.
Die folgende Tabelle zeigt die bisher bekannten Verbreitungswege und typische Beispiele, wie Geräte kompromittiert werden:
| Verbreitungsweg | Beschreibung / Details | Beispiele |
|---|---|---|
| Messenger-Gruppen | Direktes Verschicken von Links zu manipulierten APK-Dateien. Nutzer werden oft zu «Pro»- oder «Mod»-Versionen bekannter Apps gelockt. | Telegram, Discord, WhatsApp-Gruppen |
| Filehoster / Download-Portale | Externe Seiten, die APKs bereitstellen, oft mit verlockenden Premium-Funktionen. | MediaFire, MEGA, Dropbox |
| Social-Media-Posts & Foren | Links in Beiträgen oder Threads, die Nutzer auf gefälschte Apps aufmerksam machen. | Reddit, Facebook, Twitter, TikTok-Beiträge |
| Gefälschte App-Websites | Seiten, die offiziell wirken, aber manipulierte APK-Dateien anbieten. | Webseiten mit angeblich «mod» / «Pro» Apps von WhatsApp, Instagram, TikTok, Snapchat, Netflix |
| Cloud-Dienste zur Steuerung & Verbreitung | Genutzt, um Daten abzugreifen, Kommunikation mit dem Schädling zu ermöglichen und die Malware schwerer erkennbar zu machen. | Google Drive, Google Firebase, Telegram-Server |
| Direkter E-Mail- oder Chat-Versand | Malware wird als angeblicher Update-Link oder Datei-Anhang verschickt. | Phishing-Mails, Direktnachrichten in sozialen Netzwerken |
| APK-Tausch / Drittanbieter-App-Stores | Alternative App-Stores oder App-Tauschplattformen, die nicht reguliert sind. | APKMirror, Aptoide, SlideME |
So schützt du dein Android-Smartphone
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt diese Massnahmen:
- Apps nur aus offiziellen Quellen installieren – der Play Store ist sicherer als Downloads aus dem Internet.
- Installationen aus unbekannten Quellen deaktivieren – Android hat eine Einstellung, die genau das verhindert.
- Berechtigungen hinterfragen – eine App, die grundlos Zugriff auf SMS, Mikrofon oder Kontakte verlangt, ist verdächtig. Im Zweifel ablehnen.
- Regelmässige Sicherheitsprüfungen – Sicherheits-Apps erkennen viele Infektionen, bevor es zu spät ist.
- Bei Verdacht handeln – kritische Passwörter ändern und das Gerät auf Werkseinstellungen zurücksetzen.
Arsink ist kein ausgeklügelter Zero-Day-Angriff. Er funktioniert, weil Menschen gefälschten Apps vertrauen. Wer APKs nur aus dem Play Store installiert, Berechtigungen prüft und bei unbekannten Links skeptisch bleibt, schliesst die grösste Angriffsfläche.