Sicherheitsforscher schlagen Alarm: Cyberkriminelle setzen zunehmend auf künstliche Intelligenz, um Android-Nutzer weltweit zu attackieren. Die Bedrohungslage hat eine neue Dimension erreicht.
Ein regelrechter Tsunami an hochentwickelten Angriffen rollt über das Android-Ökosystem hinweg. Experten für mobile Sicherheit und Bedrohungsanalyse haben eine deutliche Zunahme an komplexen Attacken identifiziert, die weit über herkömmliche Schadsoftware hinausgehen. Im Zentrum stehen KI-generierte Exploits, massiver Abrechnungsbetrug und eine alarmierende Zunahme von kontaktlosen Zahlungsabfangmanövern. Die Zeiten, in denen mobile Bedrohungen als experimentell galten, sind endgültig vorbei – die Angreifer agieren industrialisiert und in atemberaubender Geschwindigkeit.
Banking, PayPal oder WhatsApp – die tägliche Nutzung Ihres Android-Smartphones birgt durch KI-gesteuerte Angriffe neue Risiken. Wie Sie Ihr Gerät in wenigen Minuten mit fünf einfachen Schritten gegen Hacker absichern, erfahren Sie in diesem kostenlosen Ratgeber. So sichern Sie Ihr Android-Smartphone sofort ab
Systematischer Abrechnungsbetrug: 250 betrügerische Apps enttarnt
Eine umfassende Untersuchung des Sicherheitsunternehmens Zimperium hat ein groß angelegtes Betrugsnetzwerk aufgedeckt. Rund 250 betrügerische Android-Apps wurden entwickelt, um Nutzer ohne deren Wissen in kostenpflichtige SMS- und WAP-Dienste einzubuchen. Die Kampagne lief von März 2025 bis Januar 2026 und köderte ihre Opfer mit den Logos bekannter Marken wie TikTok, Minecraft, GTA, Instagram Threads und Facebook Messenger.
Die Schadsoftware operierte mit drei verschiedenen technischen Varianten. Eine Version verfügte über eine automatisierte Abo-Engine, die SIM-Karten-Checks durchführte und Einmalpasswörter (OTPs) mit der offiziellen Google SMS Retriever API abfing. Eine zweite Variante konzentrierte sich auf Premium-SMS-Betrug in Thailand und nutzte WebView-Automatisierung sowie Cookie-Diebstahl, um Sicherheitsabfragen zu umgehen. Die dritte Variante integrierte Echtzeit-Benachrichtigungen über Telegram, um die Angreifer über erfolgreiche Infektionen zu informieren.
Besonders betroffen: Nutzer in Malaysia, Thailand, Rumänien und Kroatien. In Malaysia, wo mehr als die Hälfte der identifizierten Opfer lebt, waren mindestens zehn Mobilfunkanbieter betroffen, darunter DiGi, Maxis und Celcom. Google betont, dass keine der betrügerischen Apps jemals im offiziellen Play Store gehostet wurde. Google Play Protect biete weiterhin effektiven Schutz. Allerdings blieben Teile der Angreifer-Infrastruktur bis ins Frühjahr 2026 aktiv.
Der KI-Meilenstein: Erster Zero-Day-Exploit durch künstliche Intelligenz
Die Google Threat Intelligence Group (GTIG) meldet eine historische Entwicklung in der Cyberkriminalität: den ersten bekannten KI-generierten Zero-Day-Exploit. Die Angreifer nutzten ein großes Sprachmodell, um eine semantische Logiklücke in einem Server-Admin-Tool zu identifizieren. Ein KI-generiertes Python-Skript ermöglichte es, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Zwar waren dafür gültige Anmeldedaten nötig, doch die Fähigkeit der KI, solche Schwachstellen automatisiert zu finden, markiert einen Wendepunkt.
Ein veraltetes Android-System gleicht einer offenen Haustür für Cyberkriminelle, die gezielt nach Sicherheitslücken suchen. Dieser kostenlose Experten-Report zeigt Ihnen, wie Sie durch richtige Updates Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen
Doch damit nicht genug: KI wird zunehmend genutzt, um bestehende Schadsoftware-Familien zu verbessern. GTIG identifizierte eine neue Android-Malware namens PROMPTSPY, die PINs und Entsperrmuster von Nutzern ausspäht. Staatlich unterstützte Akteure aus Nordkorea, Russland, China und Iran setzen inzwischen Gemini und andere KI-Modelle für Aufklärungsarbeit und effektivere Phishing-Kampagnen ein. Diese sogenannten „Rapport-building“-Angriffe nutzen KI, um überzeugendere, lokalisierte Inhalte zu erstellen und die sprachlichen Fehler zu vermeiden, die Nutzer normalerweise auf einen Betrug aufmerksam machen.
Analysten von Check Point betonen, dass KI-gesteuerte Angriffe keine theoretische Gefahr mehr sind, sondern zum operativen Alltag gehören. Ein Einzeltäter in Mexiko nutzte KI, um neun verschiedene Regierungsbehörden zu kompromittieren und über 5.000 Befehle während des Einbruchs auszuführen. Die Entstehung von Malware-as-a-Service (MaaS) -Plattformen wie „EvilTokens“ senkt die Einstiegshürde weiter. Weniger erfahrene Akteure können sich hochentwickelte KI-Werkzeuge mieten, um API-Schlüssel zu stehlen und Exploits zu automatisieren.
NFC-Angriffe explodieren: 188 Prozent mehr Attacken
Neben softwarebasierter Schadsoftware nehmen auch physische und nahbereichsbasierte Angriffe auf Android-Geräte dramatisch zu. Daten von Kaspersky zeigen einen Anstieg der NFC-Relay-Angriffe um 188 Prozent zwischen Januar und April 2026 im Vergleich zum Vorjahreszeitraum. Die Sicherheitssysteme blockierten in den ersten vier Monaten rund 35.600 solcher Attacken.
Diese Exploits lassen sich in zwei Kategorien einteilen: „Direct NFC“-Angriffe, die Kreditkartendaten von einem nahegelegenen Gerät stehlen, und „Reverse NFC“-Schemata, bei denen das Opfer getäuscht wird, eine Überweisung zu autorisieren. Diese Methoden werden zunehmend als Dienstleistung im Darknet angeboten – vor allem für Nutzer in Europa, Lateinamerika und Russland.
Parallel dazu entwickelt sich der markt für Phishing-as-a-Service (PhaaS) weiter. Die Analyse chinesischsprachiger Phishing-Dienste wie der YY Lai Yu Plattform zeigt einen Fokus auf die Bereitstellung digitaler Geldbörsen. Seit August 2024 hat sich das Angebot auf über 400 Phishing-Vorlagen für 119 Länder ausgeweitet, mit einem aktuellen Schwerpunkt auf Japan. Diese Plattformen nutzen KI-gesteuerte Seitengeneratoren, um lokalisierte, täuschend echte Phishing-Seiten zu erstellen, die OTPs in Echtzeit abfangen und Multi-Faktor-Authentifizierung umgehen können.
Botnetz mit einer Million Geräten: Kanadische Festnahme
Die Infrastruktur solcher Großoperationen steht zunehmend im Fokus internationaler Strafverfolgungsbehörden. Am 21. Mai 2026 nahmen kanadische Behörden den 23-jährigen Jacob Butler, alias „Dort“, im Zusammenhang mit dem KimWolf-Botnetz fest. Dieses Netzwerk kaperte über eine Million IoT-Geräte – darunter Webcams, Streaming-Boxen und digitale Bilderrahmen – um rekordverdächtige DDoS-Angriffe durchzuführen.
Im November 2025 erzeugte das Botnetz ein Spitzenverkehrsvolumen von 31,4 Terabit pro Sekunde. Die finanziellen Schäden waren enorm: Ein Opfer aus dem Finanzdienstleistungssektor meldete Verluste von über vier Millionen Euro.
Ausblick: KI-resistente Abwehr als neue Notwendigkeit
Die Bedrohungslandschaft wird zunehmend automatisiert. Die Antwort der Hersteller und Softwareentwickler sind integrierte, KI-resistente Abwehrmechanismen. Samsung hat mit der globalen Auslieferung von One UI 8.5 auf Basis von Android 16 begonnen. Millionen Geräte, darunter das Galaxy S23 und verschiedene A-Modelle, erhalten Updates, die kritische Sicherheitspatches gegen die zuletzt ausgenutzten Schwachstellen enthalten.
Sicherheitsexperten argumentieren, dass die Notwendigkeit für Drittanbieter-Antivirensoftware auf Android sinkt, da die nativen Schutzfunktionen immer robuster werden. Google Play Protect mit seiner kontinuierlichen App-Überprüfung und Google Safe Browsing gelten heute als erste Verteidigungslinie. Doch die rasante Entwicklung von KI-gesteuerten Zero-Day-Exploits und Phishing-as-a-Service zeigt: Das Nutzerverhalten bleibt der kritischste Faktor. Systemseitige Schutzmaßnahmen müssen mit schnellen Patch-Zyklen einhergehen – oft innerhalb von Stunden nach Bekanntwerden einer Schwachstelle. Nur so lässt sich mit der zunehmenden Geschwindigkeit automatisierter Angriffe Schritt halten.
