Cyberkriminelle haben ihre Angriffe auf Smartphones massiv professionalisiert – und setzen dabei auf Künstliche Intelligenz. Der globale Schaden durch mobile Attacken liegt 2026 bereits bei rund 442 Milliarden Euro. Besonders alarmierend: 86 Prozent aller Phishing-Kampagnen werden mittlerweile von KI gesteuert. Das macht betrügerische Nachrichten für Nutzer fast unmöglich zu erkennen.
Während Google und Apple mit Updates reagieren, stehen vor allem Android-Nutzer im Fokus organisierter Banden.
Android unter Beschuss: Banking-Trojaner explodieren
Die Bedrohungslage für Android-Nutzer hat sich drastisch verschärft. Im ersten Quartal 2026 stieg die Zahl der Banking-Trojaner um 196 Prozent im Vergleich zum Vorjahr – das entspricht rund 1,24 Millionen Fällen. Auch neue Malware-Varianten legten um 271 Prozent auf etwa 255.000 zu.
Angesichts der massiv steigenden Zahl von Banking-Trojanern ist ein effektiver Basisschutz für das Smartphone heute unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Gerät in wenigen Minuten gegen Hacker und Datenmissbrauch absichern. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android-Smartphone
Ein zentrales Problem: Schadsoftware schafft es immer wieder in offizielle Vertriebskanäle. Allein im Google Play Store entdeckten Sicherheitsexperten 455 bösartige Apps. Sie waren trotz Kontrollen monatelang verfügbar und wurden rund 24 Millionen Mal heruntergeladen. Die Apps tarnen sich als harmlose Dienstprogramme oder Spiele, stehlen aber im Hintergrund Zugangsdaten.
Neue Malware-Familien wie „DevilNFC“ oder „NFCMultiPay“ zielen gezielt auf kontaktlose Zahlungen. Sie missbrauchen den Kiosk-Modus der Geräte, um Zahlungen zu manipulieren.
Google und Apple schalten in den Abwehrmodus
Google reagiert mit Android 17 auf die Bedrohung. Die Beta-Version enthält eine KI-gestützte Betrugsanruferkennung. Sie warnt Nutzer in Echtzeit, wenn Gesprächsmuster auf typische Betrugsmaschen hindeuten.
Auch Apple hat nachgerüstet: iOS 26.5, veröffentlicht am 20. Mai 2026, schließt mehr als 50 Sicherheitslücken. Darunter eine kritische Schwachstelle mit der Kennung CVE-2026-28950.
Ein Branchentrend zeichnet sich ab: die Abkehr von der SMS-basierten Zwei-Faktor-Authentifizierung. Microsoft hat angekündigt, den Versand von SMS-Codes für Anmeldungen einzustellen. Grund sind Sicherheitsrisiken wie SIM-Swapping und SMS-Blaster. In Wien stellten Ermittler im Mai 2025 eine Anlage sicher, die bis zu 100.000 betrügerische Kurzmitteilungen pro Stunde versenden konnte. Statt SMS setzen Unternehmen nun auf Passkeys und biometrische Verfahren.
Da herkömmliche Passwörter und SMS-Codes zunehmend als Sicherheitsrisiko gelten, wird die passwortlose Anmeldung per Passkey zur sichersten Alternative. Ein kostenloser PDF-Report zeigt Ihnen, wie Sie die Technologie für maximale Sicherheit bei Diensten wie Amazon oder WhatsApp sofort einrichten. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Von Quishing bis Behörden-Mails: Die neuen Tricks
Die Methoden der Betrüger werden raffinierter. Ein stark wachsendes Phänomen ist Quishing – Phishing über manipulierte QR-Codes. Die Fallzahlen stiegen im ersten Quartal 2026 um 150 Prozent auf 18 Millionen Fälle weltweit. Die Codes werden auf Plakaten oder in E-Mails platziert und führen auf täuschend echte Fake-Shops oder Login-Seiten.
Seit Mitte Mai kursiert zudem eine Welle betrügerischer E-Mails im Namen des Beitragsservice für den Rundfunkbeitrag. Unter dem Vorwand eines neuen Zahlungsplans fordern die Täter Bankdaten oder Echtzeitüberweisungen auf ausländische Konten. Ähnliche Muster zeigen sich beim Deutschlandticket: Hier wird mit angeblichen Lastschriftproblemen und kurzfristigen Mahnfristen Druck aufgebaut.
Ein Fall aus Weida zeigt die Gefahr: Ein 73-jähriger Nutzer entging nur knapp einem Schaden von 20.000 US-Dollar. Er war auf einer gefälschten Flug-Stornierungsseite gelandet und hatte eine Fernwartungs-App installiert.
Die Industrialisierung der Cyberkriminalität
Die Zahlen belegen einen strukturellen Wandel. Mittlerweile werden 90 Prozent der Massen-Phishing-Kampagnen über „Phishing-as-a-Service“-Plattformen abgewickelt. Das bedeutet, Kriminelle müssen kaum eigene IT-Kenntnisse mitbringen – sie mieten fertige Angriffskits.
Ein weiterer Trend: Die Angriffsvektoren verschieben sich. Der Diebstahl von Passwörtern geht als Ursache für Sicherheitsverstöße auf 13 Prozent zurück. Dagegen gewinnen Exploits – das Ausnutzen technischer Sicherheitslücken – mit einem Anteil von 31 Prozent massiv an Bedeutung.
Auch rechtlich verschärft sich die Auseinandersetzung mit Plattformbetreibern. Im Mai 2026 reichte der US-Bundesstaat Texas Klage gegen Meta ein. Der Vorwurf: Das Unternehmen täusche Nutzer über den Umfang der Ende-zu-Ende-Verschlüsselung bei WhatsApp. Die Kläger fordern Strafzahlungen von bis zu 10.000 US-Dollar pro Verstoß.
Digitale Identität als Schutzschild?
Ein wichtiger Meilenstein für Europa ist das Digital-Identitäts-Gesetz (DIdG), das das Bundeskabinett im Mai 2026 beschloss. Es bildet die rechtliche Grundlage für die EUDI-Wallet, die zum 2. Januar 2027 starten soll. Bürger können dann Führerscheine oder staatliche Identitätsnachweise sicher auf dem Smartphone speichern – und wären weniger auf unsichere Passwörter angewiesen.
Doch Experten betonen: Die menschliche Komponente bleibt das schwächste Glied. Laut BSI wurden bereits elf Prozent der Internetnutzer Opfer von Cyberstraftaten, 62 Prozent erhalten regelmäßig Phishing-Nachrichten.
Google und andere Plattformbetreiber setzen daher zunehmend auf automatisierte Sperren. KI-Analysen sollen Webseiten und Apps bereits vor dem ersten Nutzerkontakt als betrügerisch erkennen. Internationale Operationen wie „FRONTIER+ III“ zeigen zwar Erfolge bei Festnahmen und sichergestellten Geldern. Doch die Innovationskraft der KI-gesteuerten Kriminalität bleibt die größte Herausforderung für 2026.
