Internationale Sicherheitsbehörden wie die US-amerikanische CISA und das britische NCSC warnen vor hochentwickelten Angriffen, die Router, Firewalls und Mobilfunk-Chips betreffen. Besonders kritisch: Die Malware überlebt selbst Firmware-Updates und Neustarts.
Banking, PayPal und private Nachrichten — auf keinem Gerät sind unsere Daten heute so gefährdet wie auf dem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
„Firestarter“-Malware überdauert jeden Patch
Im Zentrum der aktuellen Bedrohungslage steht eine Schadsoftware namens Firestarter. Sie zielt auf Schwachstellen in weit verbreiteten Netzwerkgeräten wie Cisco Firepower und ASA-Lösungen ab. Die Sicherheitslücken mit den Kennungen CVE-2025-20333 und CVE-2025-20362 ermöglichen Angreifern dauerhaften Fernzugriff – selbst nachdem Sicherheitspatches eingespielt wurden.
Hinter den Attacken vermuten Experten die Gruppe UAT-4356, auch bekannt als ArcaneDoor. Sie operiert seit September 2025 im Verborgenen. Das Besondere an Firestarter: Die Malware überdauert Firmware-Updates und untergräbt damit klassische Wiederherstellungsstrategien von IT-Abteilungen. Die Entdeckung zeigt, dass Schutz auf Software-Ebene allein nicht mehr reicht.
Parallel dazu nehmen Supply-Chain-Angriffe zu. Laut Telemetriedaten von Kaspersky stieg die Zahl schädlicher Pakete in Open-Source-Projekten bis Ende 2025 um 37 Prozent. Im Frühjahr 2026 wurden zudem die Webseiten bekannter Hardware-Tools wie CPU-Z und HWMonitor kompromittiert. Sie lieferten für kurze Zeit schädliche Installer aus.
Qualcomm-Lücke: Physischer Zugriff reicht für Komplettübernahme
Mobile Hardware gerät ebenfalls ins Visier der Angreifer. Eine kritische Sicherheitslücke im BootROM bestimmter Qualcomm-Chipsätze betrifft Millionen von Geräten. Die Schwachstelle CVE-2026-25262 steckt unter anderem in den Modellen MDM9x07, MDM9x45, MSM8909 und SDX50. Diese Chips finden sich nicht nur in Smartphones, sondern auch in mobilen Hotspots, industriellen Routern und IoT-Geräten.
Sicherheitsanalysten berichten: Ein physischer Zugriff reicht aus, um die Geräte innerhalb weniger Minuten vollständig zu kompromittieren. Da der Fehler im nicht beschreibbaren BootROM liegt, helfen klassische Software-Updates nicht. Hardware, die oft jahrelang in geschäftskritischen Umgebungen läuft, bleibt dauerhaft verwundbar.
Hinzu kommt die Android-Spyware ClayRat mit über 700 bekannten Varianten. Sie zeichnet Bildschirminhalte auf und liest PIN-Eingaben aus. Die Kombination aus Hardware-Lücken und Überwachungssoftware erzeugt ein Szenario, in dem herkömmliche Sicherheits-Apps versagen – der Angriff setzt unterhalb des Betriebssystems an.
KI macht Phishing zur Massenware
Ein weiterer Trend prägt die Sicherheitslage 2026: Cyberkriminelle setzen massiv auf Künstliche Intelligenz. Ein Bericht von KnowBe4 zeigt, dass 86 Prozent aller Phishing-Angriffe KI-gestützt ablaufen. Das ermöglicht Personalisierung und Skalierbarkeit, die zuvor nicht realisierbar waren.
Angesichts immer professionellerer KI-Angriffe auf mobile Endgeräte ist ein veraltetes System ein hohes Sicherheitsrisiko. In diesem kostenlosen PDF-Report erfahren Sie, wie Sie durch die richtigen Android-Updates Sicherheitslücken schließen und Ihre Daten dauerhaft vor Malware schützen. Android-Sicherheits-Ratgeber kostenlos herunterladen
Ein konkretes Beispiel ist das Phishing-Kit Bluekit. Es bietet einen integrierten KI-Assistenten und über 40 Website-Vorlagen für Dienste wie Apple, Gmail und GitHub. Bluekit unterstützt zudem Voice-Cloning und die Umgehung von Zwei-Faktor-Authentifizierungen.
Die Kampagne SarangTrap nutzt über 250 bösartige Android-Apps, getarnt als Dating-Dienste. Ziel ist der Diebstahl von Kontakten, Bildern und sensiblen Daten zur Erpressung. Bemerkenswert: Auch iOS-Nutzer werden über bösartige Konfigurationsprofile angegriffen.
Im Bereich Finanzkriminalität wurde die Android-Malware Mirax identifiziert. Sie kombiniert einen Banking-Trojaner mit einem SOCKS5-Proxy. Infizierte Geräte dienen nicht nur zum Diebstahl von Anmeldedaten aus über 180 Finanz-Apps, sondern auch als Proxy-Knoten für Angreifer. Das erschwert die Rückverfolgung erheblich. Die Verbreitung läuft oft über Facebook oder Instagram mit Lockangeboten für IPTV- oder Streaming-Dienste.
Apple und Google reagieren – doch die Altgeräte bleiben
Apple plant für Anfang Mai 2026 iOS 26.5 mit einer Funktion namens Cognitive Lockdown. Sie nutzt Echtzeit-Biometrie, um unbefugte Bedienung zu erkennen und sensible Apps wie Banking-Sofware sofort zu sperren. Gleichzeitig kommt Siri Intelligence 2.0 mit einem On-Device-Sprachmodell für mehr Datenschutz.
Google erhöht die Bug-Bounty-Prämien auf bis zu 1,5 Millionen US-Dollar für Exploits gegen den Titan-M-Sicherheitschip der Pixel-Geräte. Mit der Beta von Android 17 testet das Unternehmen neue Funktionen wie Priority Charging und verbesserte App-Schutzmechanismen.
Doch die Fragmentierung bleibt das Hauptproblem. Der Jamf Security 360 Report für 2026 zeigt: 53 Prozent der Organisationen betreiben mindestens ein Gerät mit kritisch veraltetem Betriebssystem. Veraltete Software in Kombination mit Hardware-Lücken schafft eine Angriffsfläche, die Kriminelle systematisch ausnutzen.
Milliardenverluste durch mangelnde Sicherheit
Die wirtschaftlichen Folgen sind gravierend. Das FBI beziffert die Betrugsverluste in den USA für 2025 auf fast 21 Milliarden US-Dollar – ein Anstieg von 26,5 Prozent. Online-Betrug gilt laut Europol als der am schnellsten wachsende Bereich der organisierten Kriminalität in der EU.
Ein besonderes Problem: die Intransparenz von Apps. In Russland wurde beobachtet, dass 22 der 30 populärsten Android-Apps aktiv nach installierten VPN-Anwendungen suchen und diesen Status an zentrale Server melden. Solche Praktiken untergraben das Nutzervertrauen.
Auch kontaktlose Zahlungen sind betroffen. ESET entdeckte Varianten der NGate-Malware, die NFC-Daten und PINs stehlen, um unbefugte Abhebungen an Geldautomaten zu ermöglichen. Physische Nähe zum Opfer ist oft nicht mehr nötig, sobald die Sicherheitsmechanismen der Endgeräte ausgehebelt sind.
BSI wird zur Marktüberwachung – Google I/O im Mai
Die zunehmende Komplexität der Angriffe führt zu stärkerer staatlicher Intervention. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ab September 2026 als Marktüberwachungsbehörde fungieren und personell deutlich aufgestockt. Ziel ist eine strengere Kontrolle von IT-Produkten bereits in der Verkaufsphase.
Für Mitte Mai 2026 wird die Google I/O erwartet. Dort sollen weitere Details zur KI-Integration und den Sicherheitsfeatures von Android 17 präsentiert werden. Ein versehentlich veröffentlichter Vorab-Release einer KI-App namens COSMO deutet darauf hin, dass tief ins Betriebssystem integrierte Assistenzfunktionen künftig eine größere Rolle spielen.
Die Branche steht vor der Herausforderung, Komfort neuer KI-Funktionen mit Datenschutz und Robustheit gegen Hardware-Angriffe zu vereinbaren. Während Hersteller wie Samsung mit One UI 8 langjährige Sicherheitslücken im Sicheren Ordner schließen, bleibt der Schutz älterer Hardware die Achillesferse der digitalen Sicherheit 2026.
