Die Bedrohung durch Handy-Schadsoftware erreicht eine neue Dimension: Sicherheitsforscher haben eine massive Kampagne mit über 105.000 Schadensprogrammen entdeckt, die gezielt Bankdaten und Zugangscodes stehlen.
Infrastruktur im großen Stil
Die Experten von Zimperium zLabs veröffentlichten am heutigen Samstag ihre Analyse einer ausgeklügelten SMS-Stealer-Kampagne. Das Erschreckende: 95 Prozent der 105.000 entdeckten Malware-Proben waren bislang unbekannt – ein Hinweis auf hochentwickelte Tarnmethoden der Angreifer. Die Schadsoftware kapert Einmalpasswörter (OTPs) von über 600 globalen Marken und ermöglicht so Kontodiebstähle und Identitätsbetrug.
Die dahinterstehende Infrastruktur ist beeindruckend: 13 Kommando- und Kontrollserver sowie mehr als 2.600 Telegram-Bots leiten die gestohlenen Daten weiter. Zwar wurde die Kampagne bereits 2022 entdeckt, doch die aktuellen Zahlen zeigen ein explosives Wachstum.
Banking-Trojaner im Abo-Modell
Besonders perfide: Neue Bedrohungen kommen zunehmend als „Malware-as-a-Service“ (MaaS) daher. Der Android-Banking-Trojaner Albiriox etwa wird für umgerechnet rund 600 Euro pro Monat vermietet. Er zielt auf über 400 Finanz-Apps ab, missbraucht Bedienungshilfen und ermöglicht Fernsteuerung per VNC. Betroffen sind derzeit vor allem Nutzer in Italien, die über eine gefälschte Banking-Belohnungsseite geködert werden.
Der aktuelle Zimperium-Bericht zeichnet ein düsteres Gesamtbild: 34 aktive Malware-Familien attackieren 1.243 Finanzinstitute in 90 Ländern. Die Zahl der Android-Malware-Transaktionen stieg im Jahresvergleich um 67 Prozent. Die dominanten Familien Hook, TsarBot und CopyBara haben inzwischen häufig auch Erpressungsfunktionen an Bord. Die Variante Hook v3 verfügt über 107 Fernbefehle, kann Sperrbildschirme umgehen und Bildschirminhalte in Echtzeit streamen.
Banking, PayPal und WhatsApp – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf unserem Smartphone, was sie zum Hauptziel für Hacker macht. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Sicherheitslücken im Betriebssystem
Auch Schwachstellen der Mobilbetriebssysteme selbst bleiben ein Einfallstor. Erst am Freitag wurden Berichte über eine Android-16-Sperrbildschirm-Lücke bekannt: Mit einer bestimmten Multi-Touch-Geste können Angreifer mit physischem Zugriff die PIN-Eingabe umgehen und Nachrichten über SMS oder WhatsApp versenden. Ein Update war für diese Woche angekündigt.
Microsoft-Sicherheitsforscher wiederum dokumentierten die Aktivitäten des ACR-Stealers. Diese Schadsoftware, die zwischen April und Juni 2026 besonders aktiv war, nutzt zwei verschiedene Eindringmethoden – eine über WebDAV, eine dateilos – um Browser-Zugangsdaten und Sitzungstoken zu stehlen.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, da bekannte Sicherheitslücken oft erst durch manuelle Eingriffe geschlossen werden. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie durch die richtigen Updates Datenverlust und Malware auf Ihrem Android-Gerät dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen
Gezielte Angriffe mit sozialer Manipulation
Die Angreifer setzen zudem auf ausgefeilte Social-Engineering-Taktiken:
Entwickler im Visier: Eine mit Nordkorea in Verbindung gebrachte Gruppe versteckt Schadcode in SVG-Bildern mittels Steganografie. Die Bilder werden über gefälschte Jobangebote und Programmier-Challenges verteilt – Ziel sind Entwickler-Zugangsdaten und Kryptowährungen.
Krypto-Diebstahl: Der seit April 2025 aktive OkoBot hat bereits über 242.000 Downloads seiner mobilen Varianten erreicht. Er injiziert Module in Hardware-Wallet-Apps, um Seed-Phrasen zu stehlen.
Lokale Betrugsnetzwerke: In Indien wurden drei Verdächtige festgenommen, die mit gefälschten Nachrichten zu Stromrechnungen und Paketzustellungen operierten. Der Schaden soll umgerechnet 700.000 Euro betragen. In einem weiteren Fall verlor ein pensionierter Manager umgerechnet 280.000 Euro binnen Minuten, nachdem er eine fingierte Bank-App installiert hatte.

