KI-gesteuerte Phishing-Kampagnen treiben die Entwicklung massiv an. Kriminelle nutzen zunehmend automatisierte Systeme über WhatsApp, Telegram und SMS.
Explosion bei Banking-Trojanern
Die Zahl neuer Schadsoftware-Varianten für Mobilgeräte ist um 271 Prozent gestiegen. Insgesamt registrierten Sicherheitsanalysten über 255.000 neue Varianten. Besonders dramatisch ist die Lage bei Banking-Trojanern: Die Fallzahlen legten um 196 Prozent auf 1,24 Millionen Vorfälle zu.
Banking, PayPal und Online-Shopping machen das Smartphone zum Hauptziel für Kriminelle, die es auf Ihr Erspartes abgesehen haben. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Trojaner absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Die Malware-Familie „Mamont“ dominiert dabei das Geschehen. Sie ist für mehr als 70 Prozent aller Angriffe auf Android-Systeme verantwortlich.
KI macht Phishing-Kampagnen nahezu perfekt. Rund 86 Prozent aller Angriffe sind mittlerweile KI-gesteuert. Kriminelle Organisationen versenden täglich bis zu 3,4 Milliarden individuell angepasste Nachrichten. Frühere Warnsignale wie schlechte Grammatik oder merkwürdige Absenderadressen fallen weg – die Texte sind kaum noch von legitimer Kommunikation zu unterscheiden.
In Wien dokumentierten Ermittler im Mai den Einsatz von SMS-Blastern. Diese Geräte versenden bis zu 100.000 Nachrichten pro Stunde und setzen regionale Ziele massiv unter Druck.
Angriffe über vertraute Kanäle
Sicherheitsfirmen wie TraceX Labs warnen vor gefälschten Android-Apps. Die Anwendungen verbreiten sich gezielt über WhatsApp und Telegram. Ein aktueller Fall aus Indien zeigt eine manipulierte App einer fiktiven politischen Gruppierung. Nach der Installation fordert sie weitreichende Berechtigungen für SMS, Kamera und Bedienungshilfen. Die Apps fungieren als Remote Access Trojaner und Banking-Trojaner, die Finanzdaten abgreifen und per Telegram-Bot an die Hintermänner senden.
Auch „Quishing“ – Phishing per QR-Code – nimmt rasant zu. Die Fallzahlen stiegen um 150 Prozent auf rund 18 Millionen Vorfälle. Angreifer platzieren manipulierte QR-Codes in öffentlichen Räumen oder versenden sie digital. Nutzer landen auf täuschend echten Phishing-Seiten bekannter Marken.
KnowBe4 warnt vor globalen Kampagnen mit gefälschten Umfragen. Die Nachrichten imitieren Dienstleister wie FedEx, Marriott oder Costco. Unter dem Vorwand, teure Produkte gewonnen zu haben, zahlen Opfer geringe Versandkosten – und geben dabei ihre Kreditkartendaten preis.
Hardware-Lücken und rechtliche Grauzonen
Die Bedrohung beschränkt sich nicht auf Software. Kaspersky-Forscher identifizierten eine kritische Sicherheitslücke in Qualcomm-Chipsätzen. Die Schwachstelle CVE-2026-25262 im BootROM ermöglicht bei physischem Zugriff via USB Schreibzugriff auf den Gerätespeicher. Betroffen sind Smartphones, IoT-Geräte und moderne Kraftfahrzeuge. Ein Problem: Bereits im Einsatz befindliche Hardware lässt sich nicht patchen.
Ein veraltetes Betriebssystem gleicht einer offenen Tür für Cyberkriminelle, die Sicherheitslücken in der Hardware gnadenlos ausnutzen. Erfahren Sie in diesem Gratis-Report, wie Sie durch die richtigen Updates und Einstellungen Ihr Android-Smartphone rund um die Uhr schützen. 5 Schritte für ein sicheres Smartphone entdecken
Die Automobilbranche kämpft ebenfalls mit digitaler Angreifbarkeit. Im Januar wurde bei Venedig ein BMW X2 per Relay-Attacke auf das Keyless-System geöffnet – ohne Einbruchsspuren. Die Versicherung verweigerte zunächst die Zahlung, obwohl die Fehlerauslese ein korrektes Verschließen belegte. Erst nach Verhandlungen gab es einen Teilbetrag.
Tests des ADAC zeigen: Rund 85 Prozent von 800 getesteten Fahrzeugen mit schlüssellosem Zugang sind weiterhin anfällig.
Die rechtliche Einordnung bleibt komplex. Ken Eckstein von der Ruhr-Universität Bochum erklärt: Klassischer Datenklau gilt rechtlich nicht als Diebstahl, da Daten keine körperlichen Gegenstände sind. Strafbar sind solche Handlungen jedoch als Vorbereitung zum Betrug oder Computerbetrug. Banken haften bei Online-Banking-Betrug in der Regel, solange keine grobe Fahrlässigkeit nachgewiesen wird. In Fachkreisen wird bereits über neue Straftatbestände für den Entzug digitaler Werte diskutiert.
Politik reagiert – Prävention bleibt zentral
Das Bundeskabinett hat den Digital Identity Act beschlossen. Er treibt die Einführung einer europäischen digitalen Identität (EUDI-Wallet) voran.
Plattformbetreiber verschärfen ihre Sicherheitsvorkehrungen. Apple schloss im Mai mit iOS 26.5 insgesamt 52 Sicherheitslücken. Google testet in der Beta von Android 17 einen neuen Scanner für Installationsdateien im Chrome-Browser. Microsoft stellt die SMS-basierte Zwei-Faktor-Authentifizierung für private Konten ein – als Reaktion auf die Smishing-Gefahr.
Trotz technischer Fortschritte bleibt Aufklärung entscheidend. In Frankenthal bieten Kommunen spezielle Veranstaltungen für Senioren an. Themen sind Betrugsmaschen wie Enkeltrick oder falsche Polizeibeamte. Sicherheitsexperten raten zu einfachen Maßnahmen: Hausschlüssel nachts nicht von innen im Schloss stecken lassen – moderne Doppelzylinder mit Notfunktion lassen sich von außen dennoch manipulieren.
Ausblick: Schutz mobiler Identitäten
Die kommenden Monate stehen im Zeichen der Absicherung mobiler Identitäten. Unternehmen wie Darwinium entwickeln SDKs, die Betrugsaktivitäten und unerwünschtes Screen-Sharing in Echtzeit erkennen.
Gleichzeitig nehmen staatliche Akteure Plattformbetreiber in die Pflicht. Im Mai reichte der US-Bundesstaat Texas Klage gegen Meta ein. Der Vorwurf: Das Unternehmen täuschte Nutzer über den tatsächlichen Verschlüsselungsgrad bei WhatsApp.
Für Verbraucher gilt: Wachsamkeit gegenüber unaufgeforderten Nachrichten hat oberste Priorität. „Brushing“-Fälle zeigen, dass persönliche Daten bereits massiv im Umlauf sind. Händler versenden unbestellte Pakete an gekaperte Adressen, um künstliche Bewertungen zu generieren. Die Stiftung Warentest empfiehlt: Ware behalten, Passwörter ändern und Vorfälle den Plattformbetreibern melden. Selbst Apples „Wo ist?“-Netzwerk mit fast einer Milliarde Geräten kann die individuelle Vorsicht nicht ersetzen.
