Die Bedrohungslage für Android-Nutzer hat sich Ende April durch hochgradig automatisierte Angriffe und neue Malware-Varianten dramatisch verschärft. Cyberkriminelle setzen zunehmend Künstliche Intelligenz und spezialisierte Hardware ein, um Sicherheitsvorkehrungen zu umgehen.
Morpheus-Malware tarnt sich als System-Update
Sicherheitsforscher warnen vor einer besonders perfiden Angriffswelle durch die Spyware „Morpheus“. Die Malware tarnt sich als routinemäßiges Android-System-Update – und setzt auf eine Zero-Click-Taktik.
Angesichts immer raffinierterer Spyware-Angriffe, die sich als System-Updates tarnen, ist ein proaktiver Schutz für Ihr Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Gerät effektiv vor Hackern und Viren abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Angreifer stören zunächst die mobile Datenverbindung des Opfers. Anschließend versenden sie eine SMS mit einem vermeintlichen Update-Link. Nach der Installation der manipulierten APK-Datei missbraucht die Software den Android Accessibility Service, um die volle Kontrolle über das Gerät zu erlangen.
Besonders tückisch: Die Malware imitiert Kommunikationsdienste wie WhatsApp. Nach einem fingierten Neustart fordert eine gefälschte Login-Seite biometrische Daten an. Das ermöglicht den Angreifern die Übernahme sensibler Konten.
SMS-Blaster zwingen Geräte ins 2G-Netz
Parallel dazu identifizierten Strafverfolgungsbehörden in Nordamerika den ersten Einsatz von sogenannten „SMS-Blastern“. Diese mobilen Geräte simulieren Basisstationen und zwingen Mobiltelefone in das veraltete, unsichere 2G-Netzwerk.
In einem Umkreis von bis zu zwei Kilometern versenden die Täter massenhaft Phishing-Nachrichten – die Geräte stufen sie als vertrauenswürdig ein. Die Behörden in Ontario berichteten im Rahmen der Operation „Project Lighthouse“ von über 13 Millionen Netzstörungen.
Experten empfehlen als Gegenmaßnahme, die 2G-Funktionalität in den Geräteeinstellungen dauerhaft zu deaktivieren. Moderne Standards wie 5G sind wesentlich besser gegen derartiges Spoofing geschützt.
MediaTek-Lücke betrifft jedes vierte Android-Gerät
Neben der Anwendungssoftware rücken tief im System verankerte Schwachstellen in den Fokus. Eine im Frühjahr identifizierte Sicherheitslücke in der MediaTek-Firmware (CVE-2026-20435) betrifft Schätzungen zufolge bis zu 25 Prozent aller weltweit genutzten Android-Geräte.
Die Schwachstelle ermöglicht Angreifern mit physischem Zugriff, innerhalb weniger Minuten Verschlüsselungsschlüssel, PINs und Daten aus Krypto-Wallets auszulesen – noch bevor das Betriebssystem vollständig gestartet ist. Korrekturen existieren bereits, doch die Sicherheit der Endnutzer hängt von der Verteilungsgeschwindigkeit der Hardware-Partner ab.
Chrome-Update schließt 30 Sicherheitslücken
Google veröffentlichte Chrome Version 147, um insgesamt 30 Sicherheitsfehler zu beheben. Darunter vier als kritisch eingestufte „Use-After-Free“-Lücken.
Besonders brisant: Die Schwachstelle CVE-2026-6920 ermöglicht einen Ausbruch aus der GPU-Sandbox unter Android. Ein erfolgreicher Exploit könnte Angreifern nach der Kompromittierung des Renderers weitergehende Rechte auf dem System verschaffen. Flottenmanager in Unternehmen sollten ihre Geräte umgehend auf Chrome 147.0.7727.117 oder höher aktualisieren.
2D-Gesichtserkennung: 64 Prozent der Modelle überlistbar
Aktuelle Tests vom 28. April zeigen: Die 2D-Gesichtserkennung lässt sich bei 64 Prozent der untersuchten Android-Modelle durch einfache Fotos überlisten. Sicherheitsexperten raten daher bei sensiblen Anwendungen zur PIN-Eingabe oder zu hochwertigen Ultraschall-Fingerabdruckscannern.
Samsung Galaxy S26 Ultra: Agentic AI mit lokaler Datenverarbeitung
Samsung stellte Ende April das Galaxy S26 Ultra vor. Es verfügt über eine „Agentic AI“ mit spezialisierten Sicherheitsfunktionen. Die lokale „Personal Data Engine“ verarbeitet KI-Prozesse direkt auf dem Gerät, ohne Daten in die Cloud zu senden.
Features wie „Privacy Display“ und KI-gestütztes Call-Screening schützen vor neugierigen Blicken und Phishing-Anrufen. Die Knox Vault-Architektur und das neue KEEP-System isolieren kritische App-Daten auf Hardware-Ebene.
Kriminelle nutzen KI für Deepfakes
Doch auch Kriminelle setzen auf KI. In Indien zerschlugen Ermittler eine Bande, die KI-basierte Deepfakes nutzte, um biometrische Hürden des Aadhaar-Zahlungssystems zu umgehen. Mit Programmen wie Google Gemini erstellten die Täter „Blink-Videos“, die lebendige Personen vortäuschen.
Während Kriminelle KI für Deepfakes und Identitätsdiebstahl missbrauchen, können Sie dieselbe Technologie nutzen, um Zeit zu sparen und Ihren Alltag sicherer zu organisieren. Dieser kostenlose PDF-Report liefert Ihnen fertige Anleitungen und Prompts, um KI-Tools wie ChatGPT ohne Vorkenntnisse effektiv einzusetzen. ChatGPT als Alltagshelfer kostenlos sichern
So täuschten sie Gesichtserkennungssysteme bei der Beantragung von Krediten oder der Übernahme von Bankkonten. Zusätzlich nutzten sie manipulierte Mobilfunknummern, um die vollständige Kontrolle über digitale Identitäten zu erlangen.
FIDO Alliance kündigt neue Standards an
Um den neuen Bedrohungen durch autonome KI-Agenten zu begegnen, kündigte die FIDO Alliance am 29. April neue Standards an. Gemeinsam mit Partnern wie Google und Mastercard sollen Protokolle entwickelt werden, die verifizierte Nutzeranweisungen und eine vertrauenswürdige Delegation für Zahlungen sicherstellen.
Ziel: KI-Agenten sollen keine eigenständigen Transaktionen ohne explizite, kryptografisch gesicherte Zustimmung der Nutzer durchführen können.
App-Sicherheit: 94 Prozent nutzen unsichere HTTP-Verbindungen
Ein umfassender Bericht zur Sicherheit mobiler Applikationen („State of Mobile App Security 2026“) zeichnet ein besorgniserregendes Bild. Eine Untersuchung von rund 150.000 Apps ergab:
- Über 94 Prozent der Android-Apps nutzen unsichere HTTP-Verbindungen
- Fast 90 Prozent setzen unverschlüsselte Sockets ein
- In fast der Hälfte aller Apps fanden Analysten hartcodierte kryptografische Schlüssel
- In einigen Dutzend Fällen entdeckten sie direkt zugängliche AWS-Zugangsdaten im Quellcode
Europol: Cyberkriminalität professionalisiert sich
Europol betonte in seinem IOCTA-Bericht vom 28. April, dass die Professionalisierung der Cyberkriminalität durch KI und verschlüsselte Kommunikation massiv voranschreitet. Die Einstiegsbarrieren für Kriminelle sinken, während die Ermittlungsarbeit durch Ende-zu-Ende-Verschlüsselung zunehmend erschwert wird.
Besonders Online-Betrug und Krypto-Investmentbetrug verzeichnen explosives Wachstum. In den USA meldete die Federal Trade Commission, dass soziale Medien mittlerweile die größte Quelle für Online-Betrug sind. Die Verluste stiegen gegenüber 2020 auf das Achtfache.
EU-Kommission fordert DMA-konforme Öffnung
Die EU-Kommission forderte Google Ende April auf, konkurrierenden KI-Assistenten wie ChatGPT denselben tiefen Systemzugriff zu gewähren, den derzeit nur Google-eigene Dienste genießen. Dies beinhaltet auch die Unterstützung benutzerdefinierter Aktivierungswörter.
Sicherheitsexperten warnen vor einer möglichen Vergrößerung der Angriffsfläche durch Drittanbieter-Integrationen – der Wettbewerbsvorteil für Nutzer könnte mit Sicherheitsrisiken erkauft werden.
Was Nutzer jetzt tun sollten
Für Endnutzer bleibt proaktive Gerätewartung essenziell. Neben der Installation zeitnaher Sicherheitsupdates für Betriebssystem und Browser empfiehlt sich die regelmäßige Überprüfung von App-Berechtigungen. Neue Funktionen in Android-Versionen wie One UI 8.5 bieten hierfür automatisierte „Privacy Alerts“.
Die Branche bewegt sich insgesamt weg von der rein reaktiven Erkennung von Schadsoftware. Stattdessen setzt sie auf automatisierte Kontrolle von Prozessen und Transaktionen – ein Wettlauf gegen die steigende Geschwindigkeit KI-gestützter Angriffe.
