Die Schäden durch mobile Angriffe belaufen sich aktuell auf rund 442 Milliarden Euro. Besonders alarmierend: 86 Prozent aller Phishing-Kampagnen werden mittlerweile von Künstlicher Intelligenz gesteuert. Täglich verschicken Kriminelle rund 3,4 Milliarden betrügerische Nachrichten.
Banking, PayPal und WhatsApp — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten wirksam gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Klassische Methoden wie einfacher Passwortdiebstahl verlieren an Bedeutung. Stattdessen rücken technologisch anspruchsvolle Exploits und Manipulationen von Web-Ökosystemen in den Fokus.
Angriff auf die Lieferkette: Kompromittierte Pakete im Umlauf
Sicherheitsanalysten deckten einen schwerwiegenden Supply-Chain-Angriff auf den PHP-Paketmanager Packagist auf. Mindestens acht weit verbreitete Composer-Pakete – darunter devdojo/wave und katanaui/katana – wurden mit Schadcode infiziert. Die Angreifer versteckten die Malware in der Konfigurationsdatei package.json. Von dort lud eine bösartige Linux-Binärdatei von GitHub nach. Insgesamt 777 verschiedene Dateien auf GitHub enthielten die schädliche Payload.
Parallel dazu steht das Android-Ökosystem unter Druck. Die „Trapdoor“-Kampagne schleuste 455 infizierte Apps in den Google Play Store. Trotz der Sicherheitsmechanismen der Plattform verzeichneten diese Apps rund 24 Millionen Downloads. Die Malware generierte versteckten Werbetraffic und diente als Einfallstor für weitere Schadsoftware.
In einer weiteren Kampagne, die seit etwa zehn Monaten aktiv ist, tarnen sich rund 250 Apps als populäre Dienste wie Facebook, TikTok oder Spiele wie Minecraft. Die Malware stiehlt Geld über Mobilfunkrechnungen: Sie abonniert heimlich Premium-SMS-Dienste und fängt Einmalpasswörter (OTPs) ab. Betroffen sind vor allem Nutzer in Kroatien, Rumänien, Thailand und Malaysia.
NFC-Trojaner auf dem Vormarsch
Die Lage bei mobilen Finanztransaktionen verschärft sich zusätzlich. Neue Banking-Trojaner wie „DevilNFC“ und „NFCMultiPay“ nutzen gezielt die NFC-Schnittstellen von Smartphones aus. Sie manipulieren kontaktlose Zahlungen oder greifen Daten ab. Die Zahl der Banking-Trojaner-Fälle stieg im ersten Quartal 2026 im Vergleich zum Vorjahr um 196 Prozent auf 1,24 Millionen gemeldete Vorfälle.
Experten führen diesen Anstieg auf KI-gestützte Angriffswerkzeuge und offene Quellcodes zurück. Diese ermöglichen es auch weniger spezialisierten Tätern, komplexe Schadsoftware zu betreiben.
KI revolutioniert Phishing – Quishing im Aufwind
Phishing hat sich durch den Einsatz von KI grundlegend gewandelt. Automatisierte Systeme generieren täuschend echte Nachrichten, die kaum noch von offizieller Kommunikation zu unterscheiden sind. Ein aktuelles Beispiel: Seit Mitte Mai 2026 zielt eine Betrugswelle im Namen der Deutschen Bahn auf Millionen Zugreisende. Unter dem Vorwand einer „letzten Zahlungsaufforderung“ für das Deutschlandticket versuchen Kriminelle, Opfer zu einer Sofortüberweisung von 63 Euro auf ausländische Konten zu bewegen. Die Verbraucherzentrale NRW warnt vor der Drohung mit hohen Mahngebühren und dem massiven Zeitdruck.
Stark im Aufstieg ist auch das sogenannte „Quishing“ – Phishing via QR-Code. Die Zahl dieser Fälle stieg um 150 Prozent auf weltweit 18 Millionen Vorfälle. Kriminelle platzieren manipulierte QR-Codes in physischen Räumen oder digitalen Dokumenten. Wer sie scannt, landet auf präparierten Webseiten, die Bankdaten oder Zugangsdaten stehlen.
In Indien warnte die Polizei in Ludhiana vor einer Masche über WhatsApp. Nutzer wurden eingeladen, einer vermeintlich satirischen Gruppierung namens „Cockroach Janata Party“ beizutreten. Ein Klick auf den Link installierte Malware, die Zugriff auf Bankkonten ermöglichte und im Namen der Opfer Kredite aufnahm.
Auch Apple-Nutzer sind vermehrt Zielscheibe. Aktuelle Warnungen der Verbraucherzentralen weisen auf E-Mails hin, die einen eingeschränkten Kontozugriff behaupten und zur Bestätigung vertraulicher Daten auffordern. Deepfakes machen mittlerweile elf Prozent aller Betrugsaktivitäten aus. Das erschwert die Verifizierung von Identitäten im digitalen Raum zusätzlich.
Android 17 und iOS 26.5: Plattformen rüsten auf
Als Reaktion auf die eskalierende Bedrohungslage haben die großen Plattformbetreiber ihre Sicherheitsbemühungen intensiviert. Google präsentierte für Android 17 umfassende Sicherheitsfunktionen. Die „Live Threat Detection“ erkennt schädliches Verhalten von Apps in Echtzeit. Ein verbesserter Schutz für Einmalpasswörter verbirgt OTPs für drei Stunden in den Benachrichtigungen – das erschwert das Abgreifen durch Malware.
Zudem führt Google „verifizierte Finanzanrufe“ ein. In Kooperation mit Instituten wie Revolut oder Nubank sollen gefälschte Bankanrufe (Call-ID-Spoofing) automatisch erkannt und beendet werden. Solche Anrufe verursachen jährlich Schäden in Höhe von fast einer Milliarde Euro.
Apple veröffentlichte am 20. Mai 2026 das Update iOS 26.5. Es schließt insgesamt 52 Sicherheitslücken, darunter die unter der Kennung CVE-2026-28950 geführten Schwachstellen. Wesentlicher Bestandteil der neuen Sicherheitsarchitektur ist das PQ3-Protokoll. Es nutzt Post-Quanten-Kryptographie, um die Kommunikation gegen künftige Entschlüsselungstechnologien abzusichern.
Gleichzeitig baut Apple sein „Wo ist?“-Netzwerk weiter aus. Das System umfasst mittlerweile fast eine Milliarde Geräte. Laut SITA konnte durch die Integration von Standort-Links bei Fluggesellschaften der Anteil endgültig verlorenen Gepäcks um 90 Prozent gesenkt werden.
Microsoft beerdigt SMS-2FA – Signal warnt vor unbekannten Kontakten
Microsoft hat angekündigt, die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) einzustellen. Grund ist die Anfälligkeit für Interception-Angriffe – etwa durch die Qualcomm-BootROM-Lücke CVE-2026-25262. Stattdessen setzt der Konzern verstärkt auf biometrische Passkeys. Über fünf Milliarden davon werden bereits aktiv genutzt.
Der Messenger-Dienst Signal führte mit Version 8.12 neue Warnhinweise ein. Sie weisen auf unbestätigte Profilnamen hin und verlangen zusätzliche Bestätigungsschritte für unbekannte Kontakte. So sollen Nutzer vor KI-gesteuertem Phishing geschützt werden.
Interpol schlägt zu: 3.018 Verdächtige festgenommen
Der Kampf gegen mobile Cyberkriminalität wird zunehmend auf staatlicher und internationaler Ebene geführt. In der Operation „FRONTIER+ III“ gelang es Interpol, 3.018 Verdächtige festgenommen und Vermögenswerte in Höhe von 752 Millionen US-Dollar einzufrieren. Die Aktion unterstreicht die Notwendigkeit grenzüberschreitender Zusammenarbeit. Kriminelle Netzwerke operieren häufig nach dem Modell „Phishing-as-a-Service“. Rund 90 Prozent aller Massen-Phishing-Kampagnen werden über solche Dienstleistungsplattformen abgewickelt.
In Deutschland hat das Bundeskabinett am 21. Mai 2026 das Digital-Identitäts-Gesetz (DIdG) verabschiedet. Kernstück ist die Einführung der EUDI-Wallet, die ab dem 2. Januar 2027 verfügbar sein soll. Diese digitale Identität soll Bürgern ermöglichen, sich sicher und datenschutzkonform im Internet auszuweisen. Langfristig dürfte das die Abhängigkeit von unsicheren Passwort-Verfahren verringern.
Die menschliche Komponente bleibt das schwächste Glied
Trotz aller technologischen Fortschritte bleibt der Mensch der entscheidende Faktor. Experten betonen: Technische Schutzmaßnahmen allein reichen nicht, solange Social Engineering erfolgreich bleibt.
Ein veraltetes Smartphone ist für Cyberkriminelle oft wie eine offene Haustür zu Ihren privaten Daten. Dieser kostenlose Report zeigt Ihnen, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Android-Gerät dauerhaft schützen. Kostenlosen Android-Update-Guide jetzt herunterladen
Die Verlagerung der Angriffsvektoren spricht Bände: Einfache Passwortdiebstähle gingen auf 13 Prozent zurück, komplexe Exploits stiegen auf 31 Prozent. Unternehmen und Privatanwender müssen gleichermaßen in ihre digitale Resilienz investieren. Dazu gehört neben modernen Sicherheitsfeatures wie biometrischen Sperren und verifizierten Identitätsdiensten vor allem eine kontinuierliche Sensibilisierung für neue Betrugsmaschen.
Ausblick: Wettrüsten zwischen Sicherheit und Kriminalität
Für die kommenden Monate erwarten Experten eine weitere Verschärfung der Lage. Im Juni stehen die Entwicklerkonferenzen von Apple und Google an. Mögliche Vorstellungen von „Apple Intelligence“ in iOS 27 und die fortlaufenden Beta-Tests von Android 17 versprechen neue Sicherheitsfeatures.
Doch das Wettrüsten zwischen Sicherheitsentwicklern und Cyberkriminellen geht weiter. Besonders die Nutzung von KI zur Identitätstäuschung und Hardware-Schwachstellen – die wie die Qualcomm-Lücke nicht durch Software-Patches behebbar sind – werden die Branche vor große Herausforderungen stellen.
Die vollständige Umsetzung des Digital-Identitäts-Gesetzes in Deutschland und ähnlicher Initiativen auf EU-Ebene markiert jedoch einen wichtigen Schritt. Die Identitätssouveränität der Nutzer rückt wieder stärker in den Mittelpunkt.
