Sicherheitsforscher schlagen Alarm: Eine koordinierte Malware-Kampagne hebelt gezielt die Zwei-Faktor-Authentisierung aus. Betroffen sind vor allem Windows-Nutzer, die ihr Smartphone per „Microsoft Phone Link“ koppeln.
CloudZ und Pheno: Trojaner liest SMS-TANs vom PC
Seit Januar 2026 ist die Schadsoftware „CloudZ“ mit dem Plugin „Pheno“ aktiv. Die Malware greift nicht das Smartphone an, sondern den Windows-Rechner. Über die Synchronisierungs-App „Microsoft Phone Link“ zapft sie SMS-Einmalpasswörter und Authentifizierungscodes direkt aus der lokalen Datenbank des PCs ab.
Die Infektion startet meist über ein gefälschtes Update für die Fernwartungssoftware ScreenConnect. Einmal im System, sucht Pheno nach aktiven Synchronisierungsprozessen und liest Nachrichten aus – der Nutzer bemerkt nichts. Die modulare .NET-Malware tarnt sich mit komplexen Verschleierungstechniken. Wer hinter der Kampagne steckt, ist unklar.
Angesichts der zunehmenden Angriffe auf mobile Endgeräte wird der Basisschutz des Smartphones immer wichtiger. Erfahren Sie hier, warum IT-Experten genau diese fünf Maßnahmen für jedes Android-Gerät empfehlen, um WhatsApp, Online-Banking und Co. wirksam abzusichern. Jetzt Gratis-Schutzpaket für Ihr Smartphone sichern
VoidStealer umgeht Chrome-Verschlüsselung
Parallel dazu verbreitet sich der „VoidStealer“ als „Malware-as-a-Service“. Seit März 2026 kann er die „App-Bound Encryption“ von Google Chrome aushebeln, die erst 2024 eingeführt wurde. Die Schadsoftware liest Schlüssel aus dem Arbeitsspeicher und klaut Sitzungsdaten und Passwörter – auch aus Browsern wie Edge, Brave oder Opera.
WhatsApp: Kritische Lücken in iOS, Android und Windows
Am 6. Mai 2026 warnten die indische Behörde CERT-In und das HKCERT vor mehreren WhatsApp-Schwachstellen. Besonders kritisch: eine fehlerhafte Validierung von KI-Antworten (CVE-2026-23866) im Zusammenhang mit Instagram Reels. Eine weitere Lücke (CVE-2026-23863) erlaubt Spoofing von Dateianhängen in der Windows-Version. Angreifer können schädliche Dateien als harmlos tarnen oder Nutzer auf präparierte Webseiten locken.
APT37: Nordkoreanische Spionagesoftware als Spiel getarnt
Auch staatliche Akteure nutzen die Schwachstellen. Die nordkoreanische Gruppe APT37 attackierte ethnische Koreaner in China mit der Android-Malware „BirdCall“. Die Schadsoftware tarnt sich als populäres Spiel, kann Screenshots erstellen, Telefonate aufzeichnen und SMS sowie Kontakte stehlen.
Pixel-10-Update: Google verbaut Rückkehr zu alter Android-Version
Das Mai-Update für Googles Pixel-10-Serie enthält einen Anti-Rollback-Mechanismus im Bootloader. Nach der Installation des Patches können Nutzer nicht mehr auf ältere Android-16-Versionen zurückkehren. Das schließt Sicherheitslücken, birgt aber Risiken: Bei fehlerhaften manuellen Flash-Vorgängen werden Geräte unbrauchbar.
Finanzbetrug: 63 Milliarden Dollar Schaden in den USA
Die wirtschaftlichen Folgen sind enorm. Michelle Bowman, Vizepräsidentin der Federal Reserve, nannte am 5. Mai 2026 Zahlen: Rund 21 Prozent der US-Erwachsenen wurden 2024 Opfer von Finanzbetrug. Der Nettoverlust bei Nicht-Kreditkartenbetrug lag bei geschätzt 63 Milliarden Dollar. Insgesamt verloren Amerikaner durch Online-Betrug rund 2,1 Milliarden Dollar.
Besonders perfide: Neue Varianten des „Banking Spoof Call“-Betrugs. Kriminelle manipulieren die Anrufer-ID, sodass die echte Nummer der Hausbank erscheint. Mit internen Kontodaten gewinnen sie Vertrauen und bewegen Opfer zu hohen Überweisungen. In einem Fall verlor eine Betroffene 40.000 Dollar. In Chicago erbeuteten Betrüger mit KI-generierten Dienstmarken des US-Marshal-Service 69.000 Dollar.
5G-Netz: Gefälschte Katastrophenwarnungen als Phishing-Falle
Forscher präsentierten am 6. Mai 2026 eine neue Bedrohung im 5G-Bereich: Mit relativ günstiger Hardware lassen sich Katastrophen-Warnmeldungen fälschen. Die gefälschten Alarme erscheinen auf iPhones und Android-Geräten als offizielle Systemmeldungen – inklusive klickbarer Links. Da die Meldungen ohne Nutzerbestätigung interagieren können, sind sie ein hocheffektives Phishing-Werkzeug.
Secret Service: Drei Viertel aller Apps sind Sicherheitsrisiko
Ein Bericht des Generalinspektors des US-Heimatschutzministeriums vom 5. Mai 2026 zeigt interne Defizite: Über 75 Prozent der Apps auf Geräten des Secret Service stellten ein Sicherheitsrisiko dar. Das Ministerium stimmte allen elf Empfehlungen zur Verbesserung zu – nachdem Prüfer zeitweise keinen Systemzugriff erhielten.
FTC gegen Kochava: Kein Verkauf sensibler Standortdaten
Die US-Handelsbehörde FTC einigte sich am 5. Mai 2026 mit dem Datenhändler Kochava auf einen Vergleich. Das Unternehmen darf künftig keine sensiblen Standortdaten ohne ausdrückliche Zustimmung verkaufen. Zuvor waren präzise Geodaten von Besuchern von Kliniken und religiösen Einrichtungen veräußert worden.
Apple kritisiert DMA: „Erzwungene Interoperabilität schafft Risiken“
In Europa übte Apples Compliance-Chef Kyle Andeer scharfe Kritik am Digital Markets Act (DMA). Der DMA zwinge zu Interoperabilität und Sideloading, was neue Sicherheitsrisiken schaffe. Dritte könnten so auf sensible WLAN-Daten zugreifen.
Wie der aktuelle Malware-Alarm zeigt, sind veraltete Betriebssysteme wie eine offene Tür für Cyberkriminelle. Dieser kostenlose Report erklärt Ihnen in fünf einfachen Schritten, wie Sie Sicherheitslücken durch korrekte Updates schließen und Ihre Daten dauerhaft vor Hackern schützen. Kostenlosen Android-Update-Ratgeber herunterladen
So schützen Sie sich
Google führte am 5. Mai 2026 für Chrome unter Android eine neue Funktion ein: Nutzer können Webseiten nur noch einen ungefähren Standort mitteilen. Das schützt die Privatsphäre bei alltäglichen Suchen wie Wetterabfragen.
Das FBI und regionale Polizeibehörden raten dringend: Reagieren Sie niemals auf telefonische Zahlungsaufforderungen – selbst wenn die Nummer legitim aussieht. Behörden und Banken fordern Zahlungen nie per Geschenkkarten, Kryptowährungen oder Apps wie Cash App.
WhatsApp-Nutzer sollten sofort die neuesten Sicherheitsupdates installieren. Bei der Zwei-Faktor-Authentisierung empfiehlt sich der Umstieg auf hardwarebasierte Token oder App-basierte Authentifikatoren. Die sind weniger anfällig für SMS-Interception-Methoden wie die der CloudZ-Malware.
