Eine neue Welle von Banking-Trojanern und betrügerischen Apps erschüttert das Android-Ökosystem. Sicherheitsexperten schlagen Alarm.
Cybersicherheitsforscher haben im Mai 2026 eine besorgniserregende Zunahme von Mobilbedrohungen dokumentiert. Das Ausmaß ist erschreckend: Allein 28 als „CallPhantom“ bekannte Apps schafften es auf den Google Play Store und wurden rund 7,3 Millionen Mal installiert. Die Anwendungen versprachen Zugriff auf Anrufprotokolle und SMS-Verläufe – lieferten aber gefälschte Daten und kassierten bis zu 80 Euro pro Nutzer.
Obwohl Google die betrügerischen Apps bereits Mitte Dezember 2025 entfernte, blieben viele Geschädigte auf den Kosten sitzen. Der Grund: Die Entwickler nutzten Drittanbieter-Zahlungssysteme und direkte Kreditkartenabrechnungen, die an den offiziellen Abrechnungskanälen vorbeiliefen.
Angesichts der Flut an manipulierten Apps und Banking-Trojanern ist ein gezielter Schutz für das Smartphone heute wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern, Viren und finanziellen Schäden absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Banking-Trojaner auf dem Vormarsch
Die Bedrohungslage hat sich weiter zugespitzt. Der Mirax-Trojaner verzeichnete im ersten Quartal 2026 einen Anstieg um 196 Prozent – auf 1,2 Millionen Angriffe. Parallel dazu explodierte die Zahl der „Quishing“-Attacken, bei denen Kriminelle gefälschte QR-Codes für Phishing nutzen. Mit 18 Millionen registrierten Vorfällen legte diese Betrugsform um 150 Prozent zu.
Doch nicht nur offensichtliche Schadsoftware ist das Problem. Eine Analyse der Plattform AppXpose untersuchte 3.745 APK-Dateien und fand darin 174 verschiedene Tracking-SDKs. Besonders Finanz-Apps sind betroffen: Sie enthalten im Schnitt 13,5 Tracker pro Anwendung. Spitzenreiter sind die App „Match Masters“ mit 41 Trackern und „AI Browser – Safe & Fast“ mit 30.
Eine Studie von Mozilla aus dem Jahr 2023 hatte bereits angedeutet, dass über 80 Prozent der Datenschutzkennzeichnungen im Play Store ungenau sind.
Android 17: Neue Schutzmechanismen
Google reagiert mit dem kommenden Android 17 auf die wachsende Bedrohung. Das Update führt eine „Diebstahlerkennungssperre“ ein, die mithilfe von Bewegungssensoren einen Diebstahl erkennt und das Gerät automatisch sperrt. Besonders relevant für deutsche Nutzer: Die Funktion „Verifizierte Finanzanrufe“ soll Caller-ID-Spoofing verhindern – eine Masche, die jährlich Schäden in Milliardenhöhe verursacht.
Ein weiteres Sicherheitsfeature betrifft Einmalpasswörter (OTPs). Android 17 blendet OTP-Benachrichtigungen für Drittanbieter-Apps für drei Stunden aus, um das Abfangen von Authentifizierungscodes zu erschweren.
Die Dringlichkeit dieser Maßnahmen wird durch ein weiteres Datum unterstrichen: Am 8. September 2026 endet der Support für Android 5.0 und iOS 13. Millionen Geräte wären dann ohne Sicherheitsupdates.
Ein veraltetes System gleicht einer offenen Haustür für Cyberkriminelle, die gezielt Sicherheitslücken in älteren Android-Versionen ausnutzen. Erfahren Sie in diesem Gratis-Report, wie Sie mit den richtigen Updates Datenverlust verhindern und Ihr Smartphone dauerhaft gegen Malware absichern. 5 einfache Schritte für ein sichereres Android-Smartphone
Der Abschied vom Passwort
Während Passwörter nach wie vor die Haupteintrittspforte für Ransomware und Identitätsdiebstahl sind, beschleunigen die großen Technologiekonzerne den Umstieg auf passwortlose Authentifizierung. Seit dem 16. Mai 2026 können Google-Workspace-Administratoren die Option „Passwörter überspringen“ aktivieren. Nutzer loggen sich dann per Biometrie, PIN oder Gerätesperre ein.
Microsoft zieht mit seiner Entra-External-ID-Plattform nach. Ende Mai 2026 sollen Passkeys für externe Identitäten eingeführt werden. Bereits 99,6 Prozent der internen Microsoft-Nutzer sind durch phishing-resistente Authentifizierungsmethoden geschützt.
Der Erfolg dieser Strategie zeigt sich in den Nutzerdaten. Eine NordPass-Studie mit über 1.500 Teilnehmern ergab: Die durchschnittliche Anzahl verwalteter Passwörter ist erstmals seit Jahren gesunken. Im privaten Bereich fiel sie von 168 (2024) auf 120 (2026), im beruflichen von 87 auf 67.
Deutsche Banken in der Pflicht
Die Rechtslage in Deutschland verschärft den Druck auf Finanzinstitute. Ein Urteil des LG Berlin II stellte klar: Banken haften grundsätzlich für Phishing-Schäden, es sei denn, sie können grobe Fahrlässigkeit des Kunden nachweisen. Diese Rechtsprechung, kombiniert mit millionenschweren Vergleichen – etwa 108 Millionen Euro nach einem Datenleck mit 31,7 Millionen betroffenen Kunden Ende 2023 – treibt die Einführung von Anti-Spoofing-Technologien voran.
Aktuelle Phishing-Wellen Mitte Mai 2026 zielen gezielt auf Kunden der DKB, Deutschen Bank und Volksbank. Die Täter setzen zunehmend auf automatisierte Malware-Angriffe.
Ausblick: WhatsApp mit Passwort-Schutz
WhatsApp arbeitet an einer zusätzlichen Sicherheitsebene. In der Android-Betaversion 2.26.7.8 wurde eine optionale Passwortfunktion entdeckt. Sie verlangt bei der Registrierung auf einem neuen Gerät einen alphanumerischen Code mit 6 bis 20 Zeichen. Die Funktion soll später 2026 ausgerollt werden und bestehende Zwei-Faktor-Authentifizierung ergänzen.
Parallel arbeiten Hardware-Hersteller an datenschutzfreundlichen Updates. Samsungs One UI 9 Beta soll für das Galaxy S26 Ultra ein „Privacy Display“-Feature enthalten. Der Trend zu biometrischer und hardwaregebundener Identität zeichnet sich damit als zentrale Verteidigungslinie gegen die zunehmend automatisierte Malware ab.
