Cyberkriminelle verlassen sich immer weniger auf klassische Ransomware – stattdessen setzen sie auf raffinierte Banking-Trojaner und gezielte Social-Engineering-Attacken, die vor allem mobile Endgeräte ins Visier nehmen. Finanzinstitute und Versorgungsunternehmen stehen dabei im Fokus.
Banking, PayPal und Online-Shopping machen das Smartphone zum Hauptziel für Cyberkriminelle, wie die aktuelle Bedrohungslage eindrucksvoll bestätigt. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Rekordzahlen bei Banking-Trojanern
Allein im ersten Quartal 2026 verhinderte der Sicherheitsanbieter Kaspersky weltweit über 2,67 Millionen mobile Angriffe. Besonders alarmierend: Die Zahl neu entdeckter Banking-Trojaner-Pakete stieg um 50 Prozent im Vergleich zum Vorquartal – insgesamt 162.275 einzigartige Schadsoftware-Pakete. Diese „Trojan-Banker“-Varianten machen inzwischen fast 11 Prozent aller mobilen Malware aus.
Innerhalb dieser Kategorie dominiert die Mamont-Familie mit einem Anteil von 73,5 Prozent. Auch die Hintertür Triada.ag taucht besonders häufig auf. Besonders brisant: Sicherheitsforscher entdeckten die SparkCat-Malware sowohl im Google Play Store als auch im Apple App Store – selbst offizielle App-Plattformen sind nicht mehr sicher.
Diese Entwicklung fällt mit einer Phase erhöhter Verwundbarkeit im europäischen Finanzsektor zusammen. Mitte Mai führte ein technischer Fehler bei der niederländischen ABN AMRO zu einem massiven Ausfall des Online-Bankings und des Zahlungssystems iDEAL. Zeitgleich meldete die indische HDFC Asset Management einen Sicherheitsvorfall, der den Aktienkurs um 3,71 Prozent einbrechen ließ.
Versorger-Betrug: Die Masche mit der Gassperre
Eine besonders perfide Methode zur Verbreitung schädlicher APK-Dateien ist die Imitation von Versorgungsunternehmen. In den indischen Bundesstaaten Maharashtra und Karnataka treiben Betrüder ihr Unwesen, die sich als Mitarbeiter von Mahanagar Gas Ltd (MGL) ausgeben. Per SMS oder WhatsApp drohen sie mit der sofortigen Sperrung der Gasversorgung – es sei denn, das Opfer installiert eine APK-Datei von einer nicht verifizierten Quelle.
Einmal installiert, verschaffen diese gefälschten Apps den Angreifern vollständigen Fernzugriff auf das Gerät. Die Kriminellen können Banking-Apps überwachen und Einmalpasswörter (OTPs) abfangen. Zusätzlich nutzen sie Anrufweiterleitungen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Parallel dazu zielt der Banking-Trojaner NexusRAT auf Kunden von mindestens 36 verschiedenen Finanzinstituten ab. Die Infektion beginnt oft mit einem E-Mail-Anhang – einer SVG-Datei – die eine Skript-Kette auslöst. Im Hintergrund exfiltriert die Malware Daten an Kommando- und Kontrollserver (C2), ohne dass der Nutzer etwas bemerkt.
Hardware-Kompromittierung: Das „Spezial-Handy“
Die Entwicklung des APK-Betrugs bleibt nicht auf digitale Kanäle beschränkt. In der chinesischen Stadt Changzhou deckte die Polizei ein Schema auf, bei dem Opfer mit dem Kauf von Online-Kursen für umgerechnet rund 6.000 Yuan (etwa 770 Euro) gelockt wurden. Als Teil des Pakets erhielten sie ein „spezielles“ Mobiltelefon – vorinstalliert mit illegalen Apps, darunter VPNs und Chat-Tools. Die Geräte verfügten über integrierte Bildschirmfreigabe-Funktionen und gefälschte Investment-Plattformen. Die Polizei konnte durch ihr Eingreifen Schäden in Höhe von 1,46 Millionen Yuan (rund 187.000 Euro) verhindern.
In Südostasien warnt die thailändische Polizei vor der „JSceal“-Malware. Diese erlaubt Hackern, Mobilbildschirme fernzusteuern und unbefugte Überweisungen durchzuführen. Der geschätzte Schaden übersteigt 10 Millionen Baht (rund 260.000 Euro). JSceal wird häufig mit Raubkopien-Software gebündelt und nutzt die Synchronisation von Google Messages aus, um OTPs auf verbundenen Geräten abzufangen.
Selbst der Markt für Hardware-Wallets bleibt nicht verschont. Nutzer von Ledger und Trezor – den bekanntesten Kryptowährungs-Wallets – werden mit gefälschten Briefen per Post angegriffen. Die Schreiben enthalten offizielle Logos und Siegel und fordern die Empfänger auf, einen QR-Code für eine angebliche „Authentifizierungsprüfung“ zu scannen. Der Code führt zu einer betrügerischen Domain, die darauf abzielt, die Recovery-Phrasen der Wallets zu stehlen.
Phishing überholt Ransomware
Der Aufstieg von APK-basiertem Betrug ist Teil einer größeren strategischen Neuausrichtung der Cyberkriminellen. Der UK Cyber Security Breaches Survey vom April 2026 zeigt: Phishing hat Ransomware als häufigste und störendste Angriffsart für Unternehmen überholt. Rund 38 Prozent der Unternehmen berichten von Phishing-Angriffen, und 69 Prozent bezeichnen sie als ihre größte Sicherheitsherausforderung.
Diese Entwicklung wird durch die Kommerzialisierung der Cyberkriminalität vorangetrieben. Phishing-as-a-Service (PhaaS)-Plattformen senken die Einstiegshürde für Angreifer drastisch. Gleichzeitig verbessert Künstliche Intelligenz die Qualität der betrügerischen Nachrichten massiv. Forschungsergebnisse von G DATA zeigen, dass KI-Tools wie ChatGPT inzwischen genutzt werden können, um aus öffentlichen Daten psychometrische Profile zu erstellen und hochgradig personalisierte Phishing-Nachrichten zu generieren. Bereits 2025 enthielten über 80 Prozent aller Phishing-E-Mails KI-generierte Inhalte.
Da herkömmliche Sicherheits-Updates allein gegen die wachsende Flut an KI-generiertem Phishing und manipulierten Apps oft nicht ausreichen, ist proaktives Handeln gefragt. Erfahren Sie in diesem kostenlosen Report, wie Sie gefährliche Apps erkennen und Ihr Gerät rund um die Uhr zuverlässig absichern. Kostenlosen Android-Sicherheits-Report herunterladen
Neue Operationsmethoden wie „BlobPhish“ nutzen Browser-APIs, um temporäre, nicht dateibasierte Login-Seiten zu erstellen. Diese umgehen URL-Reputationssysteme und Endpunkt-Überwachung und zielen auf Microsoft 365-Nutzer sowie Finanzinstitute in Amerika, Europa und Asien ab – oft mit dem Ziel von Business Email Compromise (BEC).
Ausblick: Schutz durch Wachsamkeit
Angesichts der wachsenden Bedrohung durch APK-Betrug entbrennt eine Debatte über die Notwendigkeit von Sicherheitssoftware von Drittanbietern auf Mobilgeräten. Einige Experten argumentieren, dass moderne Android-Geräte mit Google Play Protect und regelmäßigen Updates ausreichend geschützt seien – solange Nutzer keine APKs aus unsicheren Quellen installieren. Doch die steigende Zahl erfolgreicher Angriffe zeigt: Technische Schutzmaßnahmen allein reichen gegen die aktuelle Welle von Social Engineering nicht aus.
Die Finanzbranche steht zudem vor internen Herausforderungen, die diese Risiken verstärken können. Anfang Mai 2026 geriet die Volksbank BRAWO in Deutschland in interne Turbulenzen, die zur Entlassung ihres Vorstandsvorsitzenden führten. Solche Managementwechsel können Schwachstellen schaffen, die von Angreifern ausgenutzt werden.
Die Branche setzt zunehmend auf personalisiertes Sicherheitsbewusstseinstraining. Standardschulungen gelten als wirkungslos gegen KI-gesteuerte, hochgradig zielgerichtete Kampagnen. Für mobile Nutzer bleibt der wichtigste Schutz: keine APK-Downloads aus Drittquellen und eine gesunde Skepsis gegenüber dringenden Nachrichten von Versorgern oder Banken.
