Sicherheitsforscher entdeckten die Ad-Fraud-Operation „Trapdoor“ mit 455 bösartigen Anwendungen. Die Apps waren als PDF-Betrachter oder Dateimanager getarnt und wurden über 24 Millionen Mal heruntergeladen.
Angesichts von Millionen infizierter Android-Apps ist ein gezielter Schutz vor Hackern und Viren für Smartphone-Nutzer heute unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät sofort effektiv absichern. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt kostenlos entdecken
Zu Spitzenzeiten generierten die Hintermänner bis zu 659 Millionen manipulierte Gebotsanfragen pro Tag. Das Ziel: betrügerische Klicks auf Werbeanzeigen.
So funktioniert der Betrug
Die technische Umsetzung erfolgte zweistufig. Zunächst installierten Nutzer scheinbar harmlose Apps. Über gefälschte Update-Aufforderungen lud die Software dann versteckte Browserfenster nach, die automatisierte Klicks ausführten.
Besonders raffiniert: Steuerungsdateien wie „move.txt“ und „click.txt“ täuschten menschliche Gesten vor. Die Malware wurde nur bei bezahlten Werbekampagnen aktiv – das erschwerte die Entdeckung. Google hat die betroffenen Apps zwar aus dem Store entfernt. Doch die Infrastruktur mit 183 bekannten C2-Domains zeigt die Hartnäckigkeit solcher Netzwerke.
Premium-Dienste auf fremde Rechnung
Parallel dazu lief zwischen März 2025 und Januar 2026 die Kampagne „Premium Deception“. Rund 250 gefälschte Apps meldeten Nutzer in Malaysia, Thailand, Rumänien und Kroatien heimlich für teure Premium-Dienste an. Die Kosten gingen über die Mobilfunkrechnung.
Die Angreifer umgingen die Zwei-Faktor-Authentifizierung durch Missbrauch der Google SMS Retriever API. Die Malware fing Einmalpasswörter ab, ohne dass die Opfer etwas bemerkten. Zwölf verschiedene Premium-SMS-Kurzwahlen kamen zum Einsatz. Die Steuerung erfolgte über Domains wie modobomz[.]com und mwmze[.]com. Die Apps meldeten ihre Erfolge automatisiert über Telegram-Kanäle.
Microsoft kippt SMS-Authentifizierung
Die Unsicherheit klassischer Kommunikationswege hat nun Konsequenzen. Microsoft stellte am 20. Mai 2026 die Zwei-Faktor-Authentifizierung per SMS ein. Das Unternehmen begründet den Schritt damit, dass SMS als Hauptquelle für Betrugsaktivitäten gilt. Angreifer können Nachrichten abfangen oder manipulieren.
Stattdessen setzt Microsoft künftig auf Passkeys. Diese ermöglichen die Anmeldung per Fingerabdruck, Gesichtsscan oder gerätespezifischer PIN. Der Wechsel signalisiert eine Abkehr von vertrauensbasierten Kanälen hin zu hardwaregebundener Sicherheit.
Da herkömmliche Passwörter und SMS-Codes zunehmend zur Zielscheibe von Hackern werden, bietet die neue Passkey-Technologie eine sichere und komfortable Alternative. Erfahren Sie in diesem Gratis-Report, wie Sie die passwortlose Anmeldung bei Amazon, WhatsApp und Co. in wenigen Minuten einrichten. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Parallelen zur Einbruchskriminalität
Die Methoden digitaler Angreifer ähneln klassischen Einbruchsmaschen. In Berlin nutzen Einbrecher etwa den „Mülltonnen-Trick“ – verschobene Tonnen zeigen Abwesenheit an oder dienen als Kletterhilfe. Andere drücken Kugeln aus Lippenpflegestiften in Schlösser, um zu prüfen, ob ein Schlüssel verwendet wird.
Die Statistik für 2025 verzeichnete 10.371 Einbrüche – ein Rekordwert. Die Aufklärungsquote lag bei lediglich 7,9 Prozent. Täter agieren in organisierten Banden und nutzen spezifische Zeitfenster: Bei Wohnungen meist zwischen 10 und 19 Uhr, bei Villen zwischen 16 und 20 Uhr. Freitage gelten als besonders belastet.
Schutzstrategien für Nutzer
Die Kombination aus massenhafter Ad-Malware und gezieltem Identitätsdiebstahl zeigt: Standard-Sicherheitsfunktionen reichen oft nicht. Bösartige Apps werden trotz App-Store-Prüfungen millionenfach heruntergeladen. Antivirensoftware und spezialisierte Sicherheits-Apps können als Frühwarnsystem dienen.
Die Professionalisierung der Kriminalität nimmt zu. Angreifer nutzen komplexe C2-Infrastrukturen und automatisierte Reportingsysteme. Erfolgreiche Angriffsmuster lassen sich innerhalb kürzester Zeit skalieren. Die geringen Aufklärungsquoten machen deutlich: Der Fokus muss auf der Härtung eigener Systeme liegen.
Der Faktor Mensch
Ablenkung bleibt eine der größten Gefahrenquellen – digital wie analog. Ein Vorfall in Bremerhaven vom 20. Mai 2026 zeigt das eindrücklich: Ein Fahrer ließ eine Flasche fallen, wurde abgelenkt und verursachte erheblichen Sachschaden. Statistik aus 2024: 8.722 Unfälle mit Personenschaden und 106 Todesfälle durch Ablenkung.
Analog dazu führen Unachtsamkeiten beim Smartphone – schnelles Bestätigen von Berechtigungen oder Klicken auf unbekannte Links – oft zu schwerwiegenden Sicherheitsvorfällen. Die effektivste Strategie: technischer Schutz durch Sicherheitssoftware kombiniert mit gesteigertem Gefahrenbewusstsein.
