Gleich mehrere großangelegte Kampagnen nutzen sowohl die Gutgläubigkeit der Nutzer als auch technische Schnittstellen zwischen Handy und PC aus. Im Fokus: betrügerische Apps im Google Play Store und eine neue Malware, die Microsofts „Phone Link“-Funktion attackiert.
CallPhantom: 7,3 Millionen Downloads mit falschen Versprechen
Sicherheitsforscher von ESET haben eine massive Betrugsserie aufgedeckt. Insgesamt 28 Android-Apps im offiziellen Google Play Store lockten mit dem Versprechen, Anrufprotokolle, SMS-Verläufe oder WhatsApp-Logs beliebiger Telefonnummern anzuzeigen. Mehr als 7,3 Millionen Nutzer bissen an.
Angriffe auf Online-Banking und betrügerische Apps im Play Store zeigen, wie schnell sensible private Daten in Gefahr geraten können. Dieser kostenlose Ratgeber stellt fünf wesentliche Maßnahmen vor, um Ihr Android-Smartphone wirksam gegen Hacker abzusichern. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt entdecken
Die Realität sah anders aus: Die Apps lieferten keinerlei echte Informationen. Stattdessen forderten sie Gebühren von bis zu 80 US-Dollar pro Abonnement. Die angezeigten Daten stammten aus hartcodierten Zufallslisten – völlig wertlos. Besonders betroffen: Nutzer in Indien und im asiatisch-pazifischen Raum.
Google entfernte die Apps im Dezember 2025 nach Hinweisen von ESET. Eine Rückerstattung gibt es laut Experten aber nur für Zahlungen über Googles eigenes System. Wer über Drittanbieter oder direkt per Kreditkarte zahlte, hat meist das Nachsehen.
CloudZ RAT: Trojaner kapert PC-Handy-Verbindung
Technisch anspruchsvoller geht die seit Jahresbeginn aktive Kampagne um den Trojaner „CloudZ RAT“ vor. Sicherheitsfirmen wie Cisco Talos schlagen Alarm: Die Malware nutzt ein Plugin namens „Pheno“, um Windows-Rechner anzugreifen, die per „Phone Link“ mit einem Smartphone verbunden sind.
Der Infektionsweg führt über gefälschte Software-Updates – etwa für die App „SmartConnect“. Ist der Windows-PC erst einmal infiziert, missbraucht der Trojaner die Synchronisation zwischen PC und Handy. Die Angreifer lesen SMS, Benachrichtigungen und Anrufprotokolle in Echtzeit mit.
Besonders kritisch: SMS-basierte Einmalpasswörter (2FA) für Online-Banking oder Firmenzugänge sind direkt im Visier. Die Täter können die Codes abgreifen und sofort für unautorisierte Transaktionen nutzen – ohne dass das Smartphone selbst infiziert sein muss.
Quishing: QR-Code-Phishing explodiert um 146 Prozent
Ein weiterer Trend bereitet Sicherheitsexperten Kopfzerbrechen: QR-Code-Phishing, auch „Quishing“ genannt. Laut Microsoft Threat Intelligence war dies im ersten Quartal 2026 die am schnellsten wachsende Angriffsform per E-Mail. Das Volumen stieg zwischen Januar und März um 146 Prozent.
Die Gefahr lauert aber auch offline. In Großbritannien warnen Verbraucherschützer vor manipulierten QR-Codes auf Parkplätzen. Autofahrer scannen die Codes, um zu bezahlen – und geben ihre Zahlungsdaten direkt an Betrüger weiter. Die finanziellen Verluste steigen kontinuierlich.
Kritische Lücke in Android: Remote-Codeausführung möglich
Neben Social Engineering gibt es auch handfeste technische Schwachstellen. Die indische Cybersicherheitsbehörde CERT-In warnt vor einer hochriskanten Lücke in der Android Debug Bridge (adbd). Die Schwachstelle (CVE-2026-0073) ermöglicht Remote-Codeausführung ohne Nutzerinteraktion – sofern der Angreifer im selben Netzwerk sitzt.
Betroffen sind Android 14, 15, 16 und die aktuelle Version 16-QPR2. Google hat im Mai-Update 2026 einen Patch bereitgestellt. Auch Samsung reagiert: Das April-Update für das Galaxy M15 schließt immerhin 47 Sicherheitslücken.
Neue Schutzmechanismen: Binary Transparency und EU-Regulierung
Die Tech-Riesen reagieren. Google führte am 1. Mai 2026 einen öffentlichen Verifizierungsmechanismus für Android-Apps ein. „Binary Transparency“ und kryptografische Logbücher sollen sicherstellen, dass System-Apps und Play Services nicht manipuliert wurden – ein wichtiger Schutz gegen Supply-Chain-Angriffe.
Auf regulatorischer Ebene gewinnt der EU Cyber Resilience Act an Fahrt. Die französische Cybersicherheitsbehörde ANSSI hat ein Schutzprofil für Smartphones zertifiziert, das auf internationalen Common-Criteria-Standards basiert. Gleichzeitig zeigt der Digital Markets Act (DMA) neue Herausforderungen: Die EU-Kommission prüft Interoperabilitätsverfahren für Android, die auch konkurrierende KI-Dienste betreffen.
Der Faktor Mensch: 11,6 Millionen Briten ohne Sicherheitsfunktionen
Trotz aller Technik bleibt der Mensch die größte Schwachstelle. Eine Studie des Portals Uswitch zeigt: Allein in Großbritannien nutzen rund 11,6 Millionen Menschen keine aktiven Sicherheitsfunktionen auf ihren Smartphones. Gleichzeitig stiegen die Handydiebstähle deutlich an.
Sicherheitsexperten raten zu einem regelmäßigen digitalen „Frühjahrsputz“: Alte Konten löschen, App-Berechtigungen prüfen, Passwort-Manager und Passkeys konsequent nutzen. Klingt banal – kann aber den Unterschied machen.
Angesichts kritischer Sicherheitslücken in mobilen Systemen ist das Schließen von Einfallstoren durch Software-Patches die wichtigste Verteidigungslinie. In diesem kostenlosen Ratgeber erfahren Sie in fünf einfachen Schritten, wie Sie Ihr Gerät durch gezielte Updates vor Malware dauerhaft schützen. Gratis-Ratgeber: Android-Updates richtig installieren
Ausblick: KI-gestützte Angriffe fordern die Branche
Die Professionalisierung der Angreifer wird die IT-Sicherheitsbranche weiter beschäftigen. KI-gestützte Phishing-Methoden machen die Angriffe immer schwerer erkennbar. Erste Lösungen wie KI-basierte Mobile SOC Agents versprechen zwar schnellere Analysezeiten, stecken aber noch in der Einführungsphase.
Für Unternehmen und Privatnutzer gilt: System-Updates sind keine Option, sondern Pflicht. Ob Apple mit iOS 26.4.2, Samsung für seine M-Serie oder Google mit den Mai-Patches – die zeitnahe Installation wird zur unverzichtbaren Routine. Die zunehmende Verschmelzung von mobilen und stationären Systemen, wie CloudZ RAT zeigt, erfordert ein ganzheitliches Sicherheitskonzept, das über das einzelne Gerät hinausgeht.
