Eine neue Cyberkampagne namens „AccountDumpling“ nutzt Googles Low-Code-Plattform AppSheet, um Facebook-Konten zu kapern. Über 30.000 Nutzer haben bereits ihre Zugangsdaten verloren.
Sicherheitsforscher von Check Point Research entdeckten die Angriffswelle Anfang Mai 2026. Die Täter missbrauchen Google AppSheet – eigentlich eine Plattform zur schnellen App-Entwicklung ohne Programmierkenntnisse. Die vertrauenswürdige Infrastruktur umgeht klassische Sicherheitsfilter, die bekannte Phishing-URLs blockieren würden.
Banking, PayPal oder WhatsApp – wenn Kriminelle Ihr Android-Smartphone kapern, ist der finanzielle Schaden oft immens. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Phishing als Dienstleistung
AccountDumpling ist kein Einzelfall. Parallel identifizierten Analysten mit „Bluekit“ eine neue Phishing-as-a-Service-Plattform (PhaaS). Solche Dienste ermöglichen auch technisch unerfahrenen Kriminellen professionelle Angriffe auf soziale Netzwerke.
Die Bedrohungslage hat sich industrialisiert. Branchenexperten von Constella Intelligence und WMC Global beziffern die jährlichen globalen Verluste durch Mobilbetrug auf rund 80 Milliarden US-Dollar. Künstliche Intelligenz senkt die Einstiegshürden drastisch – sie erstellt täuschend echte Phishing-Nachrichten und überwindet sprachliche Barrieren.
In den Vereinigten Arabischen Emiraten meldeten Behörden einen Anstieg KI-gesteuerter Angriffe um 340 Prozent innerhalb von sechs Monaten.
SMS-Blaster und falsche Basisstationen
Nicht nur Software, auch Hardware kommt zum Einsatz. In Kanada führte das „Project Lighthouse“ zur Festnahme von drei Verdächtigen in Toronto. Sie betrieben sogenannte „SMS-Blaster“ – mobile, falsche Basisstationen, die legitime Mobilfunktürme imitieren. Die Geräte fingen rund 13 Millionen Netzwerkverbindungen ein.
Gestohlene Daten wandern über verschlüsselte Kanäle wie Telegram oder Discord. Die Experten zählen rund 900 Einzelverstöße pro Woche.
Spyware tarnt sich als Systemupdate
Während Massenkampagnen auf möglichst viele Opfer abzielen, richten sich spezialisierte Angriffe gegen Einzelpersonen. Die Android-Spyware „Morpheus“ tarnt sich als harmloses Systemupdate und fordert nach der Installation weitreichende Zugriffsrechte über die Bedienungshilfen. Ziel: WhatsApp-Nachrichten mitlesen und Konten übernehmen. Im Fokus stehen Aktivisten, Journalisten und Politiker.
Die verwundbare Basis bleibt riesig. Noch immer laufen rund eine Milliarde Android-Geräte ohne Sicherheitsupdates – etwa 40 Prozent aller aktiven Geräte. Viele sind sogar für den seit 2014 bekannten Heartbleed-Bug anfällig. Die Patch-Grenze liegt bei vielen Herstellern bei Android-Version 12.
Ein veraltetes System ist für Hacker wie eine offene Haustür, da kritische Sicherheitslücken nicht mehr geschlossen werden. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates und Einstellungen Ihr Android-Gerät rund um die Uhr vor Malware schützen. Kostenlosen Android-Sicherheits-Report herunterladen
Zwei WhatsApp-Lücken geschlossen
Meta musste kurzfristig zwei Sicherheitslücken in WhatsApp schließen. Die Schwachstellen CVE-2026-23863 und CVE-2026-23866 betrafen Windows, Android und iOS. Die eine ermöglichte das Spoofing von Dateianhängen, die andere die fehlerhafte Validierung von Mediendateien. Beide wurden über Metas Bug-Bounty-Programm entdeckt. Hinweise auf aktive Ausnutzung lagen nicht vor.
Schwachstellen als Geschäftsmodell
Die durchschnittlichen Kosten einer Datenpanne liegen bei 4,45 Millionen US-Dollar. Dieser Druck treibt Bug-Bounty-Programme voran. Google kündigte Anfang Mai eine umfassende Überarbeitung seiner Belohnungssysteme an. Für einen Zero-Click-Exploit auf Android gibt es nun bis zu 1,5 Millionen US-Dollar. Im vergangenen Jahr zahlte der Konzern einen Rekordbetrag von 17,1 Millionen US-Dollar an Forscher aus.
Doch Geld allein schützt nicht. AccountDumpling zeigt: Kriminelle adaptieren die Prozessketten legitimer Cloud-Dienste. Sicherheitsexperten raten dringend von SMS-basierter Zwei-Faktor-Authentifizierung ab – SMS-Blaster und Sim-Swapping machen sie angreifbar.
Was hilft wirklich?
Hardwarebasierte Sicherheitsschlüssel oder authentifizierungsstarke Apps bieten besseren Schutz. Da Kampagnen wie AccountDumpling auf legitime Umgebungen setzen, bleibt Skepsis bei unaufgeforderten Anfragen zur Kontoverifizierung der wichtigste Schutz.
Die Branche hofft auf neue Hardware-Generationen – die für August erwarteten Pixel-Modelle sollen verbesserte Sicherheitschips und neue Prozessorarchitekturen bringen. Doch der Wettlauf zwischen Verteidigungssystemen und industrialisierten Angriffsmethoden wird sich weiter verschärfen.
