Sicherheitsbehörden warnen vor einer massiven Angriffswelle auf Android-Smartphones. Cyberkriminelle nutzen gefälschte SMS-Nachrichten, um Nutzer zur Installation von Schadsoftware zu verleiten. Im Fokus steht der Diebstahl von SMS, Kontakten und Standortdaten.
Angesichts der aktuellen Angriffswelle auf Android-Geräte übersehen viele Nutzer grundlegende Sicherheitsvorkehrungen, die WhatsApp, Online-Banking und private Daten schützen. Dieser Gratis-Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Datendiebe absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
So tarnt sich der aktuelle Trojaner
Eine aktuelle Kampagne tarnt sich als dringende Aktualisierung der Krisenwarn-App „Red Alert“. Nutzer erhalten gefälschte SMS, die angeblich von Behörden stammen. Der enthaltene Link führt nicht in den Play Store, sondern lädt eine manipulierte APK-Datei von externen Servern herunter.
„Diese Form des Sideloadings ist ein zentrales Einfallstor“, betonen Sicherheitsexperten von CloudSEK und Broadcom übereinstimmend. Die installierte App sieht täuschend echt aus, fordert aber weitreichende Berechtigungen. Werden diese gewährt, sammelt sie sofort SMS-Verläufe, Kontaktbücher, Anrufprotokolle und GPS-Daten. Alle Informationen landen auf Servern der Angreifer.
Automatischer Diebstahl umgeht Sicherheitsvorkehrungen
Die technische Raffinesse geht weit über simples Phishing hinaus. Ein weiterer Trojaner namens „Oblivion“ läuft auf fast allen Geräten von Android 8 bis 16. Moderne Schadsoftware missbraucht oft den „Android Accessibility Service“.
Dieser Dienst für Bedienungshilfen wird zweckentfremdet, um sich unsichtbar weitere Rechte zu erteilen. Die Trojaner können SMS dann nicht nur lesen, sondern auch abfangen und vor dem Nutzer verstecken. Das ist fatal für SMS-Codes zur Zwei-Faktor-Authentifizierung. Einige Programme zeichnen zudem alle Tastatureingaben als Keylogger auf.
Google schließt kritische Zero-Day-Lücke
Als Reaktion veröffentlichte Google kürzlich sein monatliches Sicherheitsupdate. Der Patch schließt rund 140 Schwachstellen. Besonders brisant: Eine Lücke (CVE-2026-21385) in einer Qualcomm-Komponente wird bereits aktiv ausgenutzt.
Diese Zero-Day-Schwachstelle könnte Angreifern erlauben, Code aus der Ferne auszuführen – ohne zusätzliche Berechtigungen oder Nutzerinteraktion. US-Behörden müssen die Patches bis zum 24. März installieren. Experten raten auch Privatnutzern dringend, Updates sofort einzuspielen.
Warum die Bedrohung massiv wächst
Die jüngsten Vorfälle sind Teil eines besorgniserregenden Trends. Cyberkriminalität wird zunehmend kommerzialisiert: Über „Malware-as-a-Service“-Modelle mieten Kriminelle Schadsoftware einfach online.
Das Ausmaß der Infektionen explodiert. Der Trojaner „Arsink“, der sich als WhatsApp oder TikTok tarnt, infizierte bereits über 45.000 Geräte in 143 Ländern. Ein Kaspersky-Bericht zeigt für 2025 einen Anstieg von Android-Banking-Trojanern um 56 Prozent. Über 255.000 einzigartige, schädliche Installationspakete wurden identifiziert.
Um sich gegen die wachsende Zahl schädlicher Installationspakete zu wehren, sind keine teuren Zusatz-Apps erforderlich. Das kostenlose Sicherheitspaket liefert Ihnen praxistaugliche Checklisten für geprüfte Apps und automatische Sicherheitsprüfungen direkt auf Ihr Gerät. Kostenlosen Android-Leitfaden jetzt anfordern
Die gestohlenen Kontaktlisten dienen oft zur Weiterverbreitung. Kommt eine SMS mit Schadlink von einem bekannten Kontakt, klicken die meisten Empfänger arglos darauf.
Was kommt auf Nutzer zu?
Die Bedrohung wird weiter wachsen. Experten erwarten, dass Angreifer künftig KI nutzen, um Phishing-Nachrichten noch perfekter zu gestalten. Die Erkennung wird für Nutzer immer schwerer.
Hersteller dürften die Restriktionen für das Sideloading aus unsicheren Quellen weiter verschärfen. Für Unternehmen werden einfache Passwortregeln nicht mehr reichen. Stattdessen rücken Zero-Trust-Architekturen in den Fokus, die jedem Zugriff erst einmal misstrauen. Nutzer müssen sich auf strengere Identitätsprüfungen und sichtbarere App-Berechtigungen einstellen.
