Fast 250 manipulierte Apps und eine kritische Lücke in Microsoft 365 setzen Millionen Nutzer unter Druck.
Großangelegte Täuschung: Apps im Visier
Die Sicherheitsexperten von Zimperium haben eine Kampagne aufgedeckt, die zwischen Frühjahr 2025 und Anfang 2026 lief. Fast 250 bösartige Android-Apps tarnten sich als beliebte Dienste wie TikTok, Minecraft, GTA, Facebook Messenger oder Threads.
Anzeige: Fast 250 manipulierte Android-Apps registrieren Nutzer heimlich für teure Premium-Dienste – und die Sicherheitslücke „FlagLeft“ in Microsoft 365 gefährdet zusätzlich Ihre Anmeldedaten. Erfahren Sie in diesem kostenlosen Guide, wie Sie gefälschte Apps erkennen, Ihre Microsoft-Konten absichern und sich vor KI-Phishing schützen. Jetzt kostenlosen Schutz-Guide anfordern
Das Ziel der Angreifer: Sie registrierten Nutzer heimlich für kostenpflichtige Premium-Dienste – abgerechnet über die Mobilfunkrechnung. Die Betrugsmasche konzentrierte sich vor allem auf Malaysia, Thailand, Rumänien und Kroatien.
Drei verschiedene Malware-Varianten kamen zum Einsatz. Eine Version nahm automatische Anmeldungen vor, andere nutzten Premium-SMS-Dienste oder betrieben Phishing über SMS, kombiniert mit einer Überwachung über Telegram.
Google betont: Die betroffenen Apps befanden sich nicht im offiziellen Play Store. Das Sicherheitssystem Play Protect soll die Nutzer schützen.
„FlagLeft“: Sicherheitslücke in Microsoft 365
Parallel dazu entdeckten Forscher von Enclave eine Schwachstelle namens „FlagLeft“ in den Android-Versionen der Microsoft-365-Suite. Betroffen waren Word, PowerPoint, Excel, OneNote sowie Copilot und Loop.
Die Ursache: ein versehentlich gesetztes Debug-Flag in einem gemeinsam genutzten SDK von Microsoft. Diese Fehlkonfiguration erlaubte anderen installierten Apps, unbemerkt auf Anmeldetoken der Microsoft-Konten zuzugreifen.
Potenzielle Angreifer hätten E-Mails lesen, Dokumente einsehen oder im Namen des Nutzers handeln können. Microsoft hat den Fix seit Mitte Mai per Update ausgerollt.
Google schließt kritische Zero-Day-Lücke
Mit dem Juni-Sicherheitspaket 2026 hat Google insgesamt 124 Schwachstellen im Android-Betriebssystem geschlossen. Besonders brisant: Die Lücke CVE-2025-48595 betrifft Geräte ab Android 14 und wird bereits aktiv ausgenutzt.
Das Update behebt zudem 18 kritische Fehler im System-Framework und in Qualcomm-Chipsätzen. Google führt außerdem eine neue Betrugserkennung bei Anrufen ein, die auf dem RCS-Standard basiert und für Geräte ab Android 12 verfügbar sein soll.
Auch Samsung reagierte und stellte eigene Patches für 45 Sicherheitslücken bereit.
KI-gestütztes Phishing auf dem Vormarsch
Die aktuellen Entdeckungen sind Teil eines globalen Anstiegs der Cyberkriminalität. Das FBI beziffert die Verluste durch Internetkriminalität in den USA für 2025 auf rund 19,5 Milliarden Euro – ein Plus von 26 Prozent zum Vorjahr.
Anzeige: KI-gestütztes Phishing hat sich in zwei Jahren um 1200 Prozent erhöht – und die Schäden durch Internetkriminalität erreichten 2025 rund 19,5 Milliarden Euro allein in den USA. Dieser Leitfaden zeigt Ihnen 5 konkrete Schutzmaßnahmen, wie Sie sich und Ihr Smartphone vor den neuesten Betrugsmaschen schützen. Schutz-Guide jetzt sichern
Besonders alarmierend: KI-gestützte Phishing-Angriffe haben sich in den vergangenen zwei Jahren um 1200 Prozent erhöht. Branchenanalysten von Barracuda warnen, dass fast die Hälfte aller weltweit versendeten E-Mails bösartige Absichten verfolgt.
Angreifer setzen vermehrt auf professionelle „Phishing-as-a-Service“-Modelle. Im Finanzsektor stieg die Zahl der Ransomware-Angriffe im ersten Quartal 2026 um 76 Prozent.
In Österreich und Deutschland warnen Kreditinstitute verstärkt vor Betrugsversuchen über Messenger wie WhatsApp. Kriminelle versuchen dort, Aktivierungscodes für Banking-Apps zu erbeuten.
