Die Bedrohungslage für Online-Banking-Nutzer eskaliert.
Banking, PayPal und WhatsApp — auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor KI-gesteuerten Hackern und Viren schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
„PromptSpy“ nutzt Googles KI-Modell Gemini
Die Malware „PromptSpy“ markiert eine Zäsur in der mobilen Sicherheit. ESET-Analysten dokumentierten den ersten Android-Trojaner, der Googles KI-Modell Gemini für komplexe Aufgaben einsetzt. Die Schadsoftware steuert Bildschirmaufzeichnungen und stiehlt Sperrbildschirm-Daten – vollautomatisiert.
Die Verbreitung läuft primär über externe Webseiten. Parallel warnt Kaspersky vor „Keenadu“, einem Trojaner, der bereits in der Firmware neuer Geräte oder vorinstallierten System-Apps sitzt. Bis Februar 2026 registrierten die Sicherheitsexperten weltweit über 13.000 infizierte Geräte, mit Schwerpunkten in Deutschland, Japan und den Niederlanden.
Trojaner kapert WhatsApp-Kontakte
Der Banking-Trojaner „TCLBANKER“ nutzt eine besonders perfide Masche. Er verbreitet sich über Nachrichten in WhatsApp und Outlook – und zwar automatisch über die Kontakte der Opfer. Die Malware zielt gezielt auf 59 verschiedene Finanz- und Kryptoplattformen ab.
Noch raffinierter ist „BeatBanker“. Die als Starlink-App getarnte Schadsoftware spielt eine nahezu unhörbare Audiodatei in Dauerschleife ab. Das hält einen Persistenz-Mechanismus aufrecht, der Tätern die Fernsteuerung des Geräts sowie Zugriff auf Kameras und GPS-Daten ermöglicht.
Gericht: Banken haften bei Profi-Phishing
Das Landgericht Berlin II verurteilte die Apobank Ende April zur Zahlung von über 200.000 Euro Schadensersatz. Ein Kunde war Opfer einer täuschend echten Phishing-Inszenierung geworden. Die Täter kombinierten einen physischen Brief, ein manipuliertes Online-Banking-Interface und einen Telefonanruf unter einer echten Banknummer.
Die Richter sahen keine grobe Fahrlässigkeit beim Kunden. Die Bank hätte den Betrug erkennen müssen – unterschiedliche IP-Adressen beim Login und der anschließenden Geräteregistrierung hätten das Sicherheitssystem alarmieren müssen.
Auch das Oberlandesgericht Koblenz urteilte: Der bloße Klick auf einen Link in einer SMS ist nicht automatisch grob fahrlässig. Die Botschaft ist klar: Banken können sich nicht mehr auf die Fehlbedienung durch Kunden berufen, wenn Angriffe für Laien kaum noch als Betrug erkennbar sind.
Drei Sekunden Audio reichen für Stimmenklon
Die Professionalisierung der Betrugsmaschen beschränkt sich nicht auf Malware. KI-gestützte Stimmenklone machen Schockanrufe und den Enkeltrick gefährlicher denn je. Laut Berichten reichen bereits drei Sekunden Audiomaterial für eine täuschend echte Imitation.
Die US-Handelsbehörde FTC verzeichnete über eine Million Fälle von Imposter-Betrug mit einem Gesamtschaden von mehr als 3,5 Milliarden US-Dollar. Auch in Deutschland warnen Polizeibehörden vor dieser Entwicklung.
Österreich: ID-Austria-Zertifikate im Visier
In Österreich nutzen Kriminelle die anstehende Erneuerung von rund 300.000 ID-Austria-Zertifikaten für Betrugswellen. Das Finanz- und Innenministerium warnten vor einer mehrstufigen Masche: Opfer werden über Smishing-Links auf gefälschte Webseiten gelockt, dann folgen gezielte Anrufe von angeblichen Behördenvertretern, die die Installation von Fernwartungssoftware forcieren.
In einem dokumentierten Fall aus Salzburg verlor eine Betroffene mehr als 30.000 Euro. Auch im geschäftlichen Bereich sind Plattformen betroffen: Eine aktuelle Phishing-Welle nutzt den Namen des Dienstleisters bexio, um IBAN-Daten in Buchhaltungssystemen zu manipulieren. Der Anbieter reagierte mit einer obligatorischen Zwei-Faktor-Authentifizierung.
WhatsApp: Zwei neue Sicherheitslücken
Am heutigen Sonntag wurden zwei neue Sicherheitslücken in WhatsApp bekannt. Sie betreffen Milliarden von Geräten unter Android, iOS und Windows. Die Gefahr geht von manipulierten Dateien und Link-Vorschauen aus.
Meta führt als Reaktion neue Sicherheitsfunktionen ein. Nutzer können unter den „Erweiterten Optionen“ striktere Kontoeinstellungen aktivieren. Diese blockieren Medienanhänge von unbekannten Kontakten und deaktivieren Link-Vorschauen standardmäßig.
Meta deaktiviert Instagram-Verschlüsselung
Seit dem 8. Mai 2026 ist die Ende-zu-Ende-Verschlüsselung für Direktnachrichten auf Instagram deaktiviert. Meta begründet den Schritt mit geringer Nachfrage. Experten sehen einen zeitlichen Zusammenhang mit neuen US-Regulierungen.
Apple geht den Gegenweg: Mit iOS 26.5 plant der Konzern die Einführung einer Ende-zu-Ende-Verschlüsselung für den RCS-Standard. Bei WhatsApp betonen die Betreiber, dass private Chats trotz Integration der Meta-KI weiterhin verschlüsselt bleiben.
Die Kosten explodieren
Die wirtschaftlichen Auswirkungen von Sicherheitsvorfällen sind 2026 massiv gestiegen. Branchenanalysen beziffern die durchschnittlichen Kosten für ein Datenleck auf 4,88 Millionen US-Dollar. Rund 3,3 Milliarden gestohlene Zugangsdaten sind im Umlauf – Identitätsdiebstahl bleibt das zentrale Risiko für den digitalen Zahlungsverkehr.
Das Volumen der Angriffe verdeutlicht der Fall „CallPhantom“: Bevor Google 28 gefälschte Apps Ende 2025 aus dem Play Store entfernte, wurden diese bereits über 7,3 Millionen Mal heruntergeladen. Hinzu kommen Schwachstellen in weit verbreiteten Qualcomm-Snapdragon-Chipsätzen.
Ein veraltetes Smartphone ist oft das größte Einfallstor für Cyberkriminelle und gefährliche Banking-Trojaner. Dieser kostenlose PDF-Report erklärt Ihnen Schritt für Schritt, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Android-Gerät dauerhaft schützen. Kostenlosen Update-Ratgeber jetzt herunterladen
Android 17 bringt neue Schutzmechanismen
Für den Sommer 2026 wird Android 17 erwartet. Das Update zielt speziell auf Banking-Trojaner ab. Geplant sind eine restriktivere Kontaktauswahl für Apps sowie eine dreistündige Verzögerung bei der Zustellung von Einmal-Passwörtern per SMS an Drittanbieter-Apps. Ein System zur „Binary Transparency“ soll die Integrität von Anwendungen sicherstellen.
Experten raten dringend zur Nutzung von Passkeys und zur Aktivierung der Zwei-Faktor-Authentifizierung. Die indische Regierung stellt über das CERT-In sieben kostenlose Sicherheitstools zur Verfügung – ein Modell, das als Vorbild für andere Regionen dienen könnte. Doch trotz aller Technik bleibt die Sensibilisierung der Nutzer das wichtigste Glied in der Sicherheitskette. KI-basierte Angriffe verwischen die Grenze zwischen legitimer Kommunikation und Betrug zunehmend.
