Eine als Produktivitäts-Tool getarnte russische Banking-App schaffte es auf Platz drei der US-iPhone-Charts – und wurde erst nach öffentlichem Druck entfernt. Der Vorfall zeigt, wie verwundbar selbst die streng kontrollierten App-Plattformen sind.
Am 5. Juni 2026 erlebte der US-amerikanische App Store eine kuriose und alarmierende Entwicklung: Die App „Sirius“, beworben als simpler Pomodoro-Timer für mehr Produktivität, kletterte binnen kurzer Zeit auf den dritten Platz der kostenlosen iPhone-Charts. Doch hinter der harmlosen Fassade verbarg sich ein getarnter Client für die sanktionierte russische VTB Bank. Innerhalb von zwei Stunden, nachdem Sicherheitsforscher den Fall öffentlich gemacht hatten, wurde die App vom Markt genommen. Der Vorfall wirft ein Schlaglicht auf die wachsenden Sicherheitsrisiken mobiler Plattformen – und das ausgerechnet zu einem Zeitpunkt, an dem offizielle Regierungs-Apps wie die des Weißen Hauses millionenfach heruntergeladen werden.
Angesichts der Zunahme von getarnten Banking-Apps und Schadsoftware ist ein proaktiver Schutz Ihres Mobilgeräts unerlässlich. In diesem kostenlosen Ratgeber erfahren Sie, mit welchen 5 einfachen Maßnahmen Sie Ihr Smartphone effektiv vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Wenn der Timer zum Trojaner wird
Die Tarnung als Produktivitäts-Tool ist kein Zufall. Entwickler nutzen gezielt harmlose Kategorien, um die Prüfmechanismen der App-Stores zu umgehen. Dass eine solche App es bis in die Spitzengruppe schafft, zeigt: Die traditionellen, auf Web-Inhalte ausgelegten Sicherheitskonzepte stoßen an ihre Grenzen. Experten der Sicherheitsfirma Guardsquare betonten am selben Tag, dass mobile Anwendungen eigene Schutzmaßnahmen benötigen – etwa maßgeschneiderte API-Sicherheit, rigorose Tests und eine permanente Überwachung. Wer einfach nur Web-Sicherheitsstandards auf mobile Apps übertrage, lasse kritische Lücken offen.
Dieser Wandel in der Bedrohungslandschaft spiegelt sich auch in der kommenden OWASP Top 10 für 2025 wider. Erstmals wird dort eine Kategorie für Software-Lieferketten-Fehler eingeführt – eine direkte Reaktion auf Vorfälle wie die Kompromittierung des Microsoft durabletask SDK auf PyPI im Mai 2026. Auch der Umgang mit Ausnahmesituationen in der Software gilt künftig als eines der größten systemischen Risiken.
Banken und Behörden schalten in den Angriffsmodus
Die Bedrohungslage ist real – und die Reaktionen darauf sind vielfältig. Die spanische Zentralbank Banco de España veröffentlichte am 5. Juni vier zentrale Sicherheitsempfehlungen für mobile Zahlungen. Dazu gehören die Einführung von Transaktionslimits für PINs, die Deaktivierung der NFC-Funktion bei Nichtgebrauch und der Umstieg auf app-basierte Zwei-Faktor-Authentifizierung statt SMS.
Parallel dazu hat Google eine neue Funktion in seine Telefon-App integriert: „Fake Call Detection“ erkennt auf Android 12 und neueren Versionen anhand von RCS-Signalen, ob ein Anruf tatsächlich von einem legitimen Kontakt stammt. Fehlt das Signal, erhalten Nutzer eine Warnung.
Während neue Funktionen wie die Anruferkennung helfen, bleiben regelmäßige Systemaktualisierungen das wichtigste Fundament für die mobile Sicherheit. Dieser kostenlose PDF-Report zeigt Ihnen Schritt für Schritt, wie Sie gefährliche Apps erkennen und Ihr Gerät durch die richtigen Updates dauerhaft schützen. Kostenlosen Android-Update-Ratgeber herunterladen
Exploit-Kits und physische Eindringlinge: Die Bedrohung wird greifbar
Doch die Gefahr lauert nicht nur in Apps. Das „Coruna“-Exploit-Kit bleibt eine ernste Bedrohung für iOS-Geräte der Versionen 13.0 bis 17.2.1. Es wird über gefälschte Finanz- und Kryptowährungsseiten verbreitet und nutzt die Sicherheitslücke CVE-2024-23222, um Datendiebstahl-Software zu installieren. Sicherheitsexperten raten dringend zum Update auf die neueste Betriebssystemversion oder zur Nutzung spezieller Sperrmodi.
Noch einen Schritt weiter geht die Bedrohung durch die „Silent Ransom Group“. Seit Januar 2026 setzt die Gruppe laut einer gemeinsamen Warnung von FBI und Google vom 5. Juni auf eine perfide Taktik: Physische Eindringlinge, die sich als IT-Mitarbeiter ausgeben, verschaffen sich Zugang zu Firmengebäuden und zapfen Daten direkt über USB-Sticks ab – digitale Abwehrmaßnahmen werden so schlicht umgangen.
Auch Mac-Nutzer sind nicht sicher: Die „Reaper“-Variante des SHub-Stealers, die am 5. Juni identifiziert wurde, nutzt automatisierte Skripte und Social Engineering, um an Browserdaten, Schlüsselbunde und Kryptowährungs-Wallets zu gelangen. Und schließlich sorgt eine Wiederbelebung der polyfill.io-Domain für Unruhe: Schadsoftware von dort hat bereits die Websites mehrerer internationaler Konzerne infiltriert – und sogar die Benutzeroberflächen von Smart-TVs beeinträchtigt.
Die Botschaft der Sicherheitsexperten ist eindeutig: Mobile Plattformen sind nicht mehr die sicheren Häfen, die sie einmal waren. Der Fall der getarnten VTB-App ist nur die Spitze des Eisbergs.
