Eine massive Angriffswelle mit Infostealer-Malware gefährdet weltweit Zugangsdaten und digitale Identitäten. Aktuelle Berichte von Kaspersky, Rapid7 und Flashpoint zeigen: Cyberkriminelle setzen auf raffinierte Täuschungsmethoden und umgehen etablierte Sicherheitsbarrieren. Für Smartphone-Nutzer wird die Bedrohung besonders kritisch.
Banking, WhatsApp und sensible Daten – auf keinem Gerät sind wir so angreifbar wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackerzugriffen und Datenklau schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Milliarden gestohlene Datensätze überschwemmen das Darknet
Die Zahlen sind alarmierend. Laut dem aktuellen Flashpoint-Bericht infizierten Infostealer im vergangenen Jahr 11,1 Millionen Endgeräte. Das Ergebnis: 3,3 Milliarden Zugangsdaten, Session-Cookies und persönliche Profile landeten auf illegalen Marktplätzen. Zu den aktivsten Schadprogrammen zählen Lumma, Rhadamanthys und Vidar.
Ein weiterer Report von Specops Software analysierte über sechs Milliarden gestohlene Passwörter. Die Malware LummaC2 stahl dabei allein mehr als 60 Millionen Zugangsdaten. Infostealer arbeiten lautlos im Hintergrund. Sie fischen Login-Daten aus Browsern und Passwort-Managern. Die Opfer bemerken den Diebstahl oft erst Monate später.
KI-Hype und gefälschte CAPTCHAs: Die neuen Köder
Wie schleusen Angreifer die Schadsoftware ein? Statt technischer Schwachstellen nutzen sie geschickte Täuschung. Kaspersky-Experten warnen vor manipulierter Werbung für KI-Tools. Diese leitet Nutzer auf gefälschte Seiten für Tools wie „Claude Code“. Wer die Installationsanweisungen befolgt, lädt Schadsoftware wie den Infostealer Amatera herunter.
Parallel dazu entdeckte Rapid7 eine globale „ClickFix“-Kampagne. Hacker kompromittierten über 250 legitime WordPress-Seiten. Besuchern wird ein gefälschtes Cloudflare-CAPTCHA angezeigt. Es fordert sie auf, einen Befehl in das Ausführen-Fenster zu kopieren. Dieser lädt Malware wie den Vidar Stealer direkt in den Arbeitsspeicher – für viele Virenscanner unsichtbar.
Warum Ihr Smartphone zum Hauptziel wird
Die größten Folgen treffen oft mobile Nutzer. Moderne Browser synchronisieren Passwörter und Cookies nahtlos zwischen PC und Smartphone. Ein kompromittierter Rechner bedeutet also oft den sofortigen Verlust der mobilen Sicherheit. Angreifer erhalten Zugriff auf Banking-Apps, Social-Media und Messenger.
Gleichzeitig zielen immer mehr Schadprogramme direkt auf Smartphones ab. Mobile Infostealer wie „SMS Stealer“ fangen Einmalpasswörter aus Nachrichten ab. So umgehen Kriminelle die Zwei-Faktor-Authentifizierung beim Online-Banking mühelos. Da private Smartphones oft schlechter geschützt sind als Firmengeräte, werden sie zur verwundbarsten Angriffsfläche.
Da herkömmliche Updates allein oft nicht ausreichen, um raffinierte SMS-Stealer und Banking-Trojaner zu stoppen, sollten Nutzer proaktiv handeln. In diesem Gratis-Sicherheitspaket erfahren Sie, wie Sie mit gezielten Handgriffen eine häufig unterschätzte Sicherheitslücke auf Ihrem Gerät schließen. Kostenlosen Android-Sicherheits-Guide anfordern
Vom Hobby zum Business: Malware-as-a-Service
Branchenanalysten sehen einen fundamentalen Wandel. Cyberkriminalität industrialisiert sich zum „Malware-as-a-Service“-Modell. Die Einstiegshürde sinkt drastisch, denn Infostealer-Kits lassen sich im Darknet mieten. Professionelle Hintermänner stellen die Infrastruktur, die Käufer kümmern sich nur noch um die Verbreitung.
Besonders alarmierend ist der Fokus auf Session-Cookies. Gestohlene Cookies erlauben es Angreifern, sich gegenüber Diensten als legitimierter Nutzer auszugeben. Aus Sicht des Servers ist die Sitzung bereits verifiziert. Dadurch umgehen die Täter alle nachgelagerten Sicherheitsmechanismen – inklusive 2FA-Apps auf dem Smartphone.
Passkeys: Die passwortlose Zukunft als Rettung?
Die aktuelle Welle zwingt die Tech-Branche zum Umdenken. Experten prophezeien das beschleunigte Ende traditioneller Passwörter. Stattdessen setzen sie auf passwortlose Verfahren wie Passkeys. Diese kryptografischen Schlüssel sind fest mit der Hardware Ihres Smartphones verknüpft, etwa mit dem Fingerabdruckscanner.
Passkeys können das Gerät nicht verlassen und lassen sich nicht von gefälschten Seiten abfischen. Damit entziehen sie Infostealern langfristig die Grundlage. Bis diese Technologie zum Standard wird, bleibt höchste Vorsicht geboten. Experten raten: Kopieren Sie niemals blind Befehle und setzen Sie wo möglich auf hardwarebasierte Sicherheitsschlüssel. Der Wettlauf zwischen Angreifern und Verteidigern wird 2026 weiter eskalieren.
