Die Zahl der Banking-Trojaner schoss im ersten Quartal 2026 um 196 Prozent in die Höhe – auf 1,24 Millionen dokumentierte Fälle. Sicherheitsforscher schlagen Alarm.
Banking, PayPal und WhatsApp — auf kaum einem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Handy effektiv vor Hackern und Viren schützen. 5 Schutzmaßnahmen jetzt gratis entdecken
BeatBanker: Brasiliens Malware wird erwachsen
Im Zentrum der aktuellen Angriffswelle steht „BeatBanker“. Kaspersky-Experten entdeckten eine neue Kampagne, die gezielt brasilianische Nutzer attackiert. Der Verbreitungsweg: eine gefälschte Starlink-App.
Frühere Versionen der Malware beschränkten sich auf Krypto-Mining und klassischen Bankdaten-Diebstahl. Die neue Variante ist anders. Sie arbeitet als Remote Access Trojan (RAT) – Angreifer übernehmen die vollständige Kontrolle über das infizierte Gerät.
Besonders perfide: Eine nahezu unhörbare Audio-Datei in Endlosschleife verhindert, dass das System die Schadsoftware im Hintergrund beendet. Brasilien gilt als weltweit aktivstes Labor für Finanz-Malware – der Fokus ist kein Zufall.
KI steuert 86 Prozent aller Phishing-Angriffe
Die Professionalisierung der Angreifer zeigt sich auch in Deutschland. Eine Seniorin verlor 51.000 Euro durch einen KI-generierten Deepfake-Anruf. 86 Prozent aller Phishing-Kampagnen basieren inzwischen auf künstlicher Intelligenz.
Doch die Hacker setzen nicht nur auf Präzisionswerkzeuge. Parallel laufen breit gestreute Massenkampagnen.
Premium Deception: Zehn Monate unentdeckt
Die Kampagne „Premium Deception“ von Zimperium lief zehn Monate lang – bis Anfang 2026. Rund 250 gefälschte Apps tarnten sich als Messenger oder Spiele wie Minecraft. Betroffen: Nutzer in Malaysia, Thailand, Rumänien und Kroatien.
Die fortschrittlichsten Varianten schließen Premium-Abonnements ab – ohne jede Nutzerinteraktion. Sie deaktivieren die WLAN-Verbindung, zwingen das Gerät ins Mobilfunknetz und fangen Einmal-Passwörter (OTP) über die Google SMS Retriever API ab. Zwei-Faktor-Authentifizierung? Ausgehebelt.
Trapdoor: 24 Millionen Downloads für Ad-Fraud
Noch größer dimensioniert: die Operation „Trapdoor“. HUMAN Security deckte 455 bösartige Android-Apps auf – vermeintliche PDF-Viewer und Datei-Manager. Zusammen wurden sie über 24 Millionen Mal heruntergeladen.
Im Hintergrund installierten die Apps eine zweite Anwendung. Versteckte Browser-Fenster simulierten Werbeclicks. In der Spitze: 659 Millionen betrügerische Gebotsanfragen pro Tag. Google hat die Apps inzwischen entfernt.
Android 17 erkennt Fake-Anrufe
Google reagiert mit Android 17 auf die Bedrohungslage. Das System soll gefälschte Bank-Anrufe erkennen und automatisch beenden. Dafür arbeitet der Konzern mit Revolut, Itaú Unibanco und Nubank zusammen.
Weitere Features: „Live Threat Detection“ identifiziert Stalkerware, SMS-Weiterleitungen und versteckte App-Icons. Für Android 16 Plus kommt „Intrusion Logging“ – entwickelt mit Amnesty International. Es zeichnet verdächtige Aktivitäten bis zu zwölf Monate verschlüsselt auf.
Microsoft kündigt SMS-Authentifizierung auf
Auch Microsoft zieht Konsequenzen. Das Unternehmen stellt die Zwei-Faktor-Authentifizierung per SMS für private Konten ein. Grund: SIM-Swap-Angriffe machen die Methode unsicher. Nutzer sollen auf Passkeys umsteigen – Fingerabdruck oder Gesichtsscan statt SMS-Code.
Apple lieferte mit iOS 26.5 im Mai 2026 ebenfalls nach. Verbesserte Nachrichtenverschlüsselung (RCS) für den Austausch mit Android. Und: automatisierte Analyseverfahren verhinderten im vergangenen Jahr milliardenschwere Betrugsversuche im App Store.
Angesichts von Millionen gehackten Konten pro Quartal wird die herkömmliche Anmeldung per Passwort immer riskanter. Erfahren Sie in diesem kostenlosen Report, wie Sie mit Passkeys eine sichere und passwortlose Alternative bei Amazon, WhatsApp & Co. einrichten. Kostenlosen Passkey-Ratgeber herunterladen
Schwachstellen schlagen Passwörter
Der aktuelle „Data Breach Investigations Report“ von Verizon zeigt einen fundamentalen Wandel. Erstmals haben Exploits von Software-Schwachstellen den Passwort-Diebstahl als primäre Angriffsmethode abgelöst. 31 Prozent der Vorfälle basierten auf Schwachstellen, nur noch 13 Prozent auf gestohlenen Zugangsdaten.
Insgesamt verzeichnete der Bericht über 31.000 Sicherheitsvorfälle. Die Zahl der Datenlecks stieg um 80 Prozent im Vergleich zu 2024.
442 Milliarden Euro Schaden erwartet
Die Prognosen für 2026 sind düster: 442 Milliarden Euro Schaden durch Angriffe auf Smartphones. Nicht nur Banking-Apps sind betroffen. Das „BadBox“-Botnet infizierte bis Mai 30.000 Geräte in Kanada – smarte Kühlschränke und Thermostate dienten als Einfallstore.
Take It Down Act und EUDI-Wallet
Der gesetzliche Rahmen zieht nach. Am 19. Mai trat der „Take It Down Act“ in Kraft. Plattformbetreiber müssen nicht-einvernehmliche Bilder innerhalb von 48 Stunden löschen.
Für 2027 bereitet die EU das „EUDI-Wallet“ (European Digital Identity) vor. Bis dahin bleibt der Schutz Aufgabe der Hersteller und Nutzer. Samsung integriert bereits Diebstahlerkennungssperren, die das Gerät bei verdächtigen Bewegungen automatisch blockieren.
Der Trend ist klar: Biometrische Authentifizierung kombiniert mit KI-gestützter Bedrohungserkennung wird zum neuen Standard. Passwörter allein reichen nicht mehr.
