Hochspezialisierte Trojaner wie „TCLBanker“ nutzen gezielt Schwachstellen in der Android-Architektur aus. Noch beunruhigender: Forscher entdeckten Schadsoftware, die bereits ab Werk in der Geräte-Firmware verankert ist.
TCLBanker: Wenn der Bildschirm lügt
Derzeit ist TCLBanker einer der gefährlichsten Akteure im mobilen Finanzbetrug. Der Trojaner verbreitet sich über WhatsApp und Outlook – getarnt als vermeintlich dringendes Sicherheits-Update. Die Malware nutzt eine Wurm-Komponente namens „SORVEPOTEL“, um sich eigenständig innerhalb der Kontaktlisten infizierter Geräte weiterzuverbreiten.
Ist der Schädling erst aktiv, zielt er auf 59 verschiedene Finanz-Plattformen ab – von Banking-Apps über Fintech-Dienstleister bis zu Kryptobörsen. Technisch missbraucht TCLBanker die Android Accessibility Services. Die Angreifer legen täuschend echte, gefälschte Eingabefenster über die legitime Banking-Oberfläche. So werden Login-Daten, Einmalpasswörter und 2FA-Codes abgegriffen, bevor der Nutzer sie überhaupt wahrnimmt.
Da Trojaner wie TCLBanker speziell auf Banking-Apps abzielen, wird ein fundierter Basisschutz zur Existenzfrage für jeden Smartphone-Nutzer. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät wirksam gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Kommunikation mit den Command-and-Control-Servern läuft vollständig verschlüsselt. Herkömmliche Netzwerk-Überwachungstools erkennen sie nicht.
Parallel dazu explodieren die „Quishing“-Fälle – Phishing-Versuche per manipulierter QR-Codes. Im ersten Quartal 2026 verzeichneten Sicherheitsbehörden einen Anstieg um 146 Prozent auf über 18,7 Millionen dokumentierte Fälle.
Vorinstallierte Schädlinge: Kein Entkommen
Ein weitreichendes Problem ist die Malware „Keenadu“. Im Gegensatz zu klassischen Trojanern gelangt sie nicht durch aktives Nutzerverhalten aufs Gerät. Sie steckt bereits in der Firmware neuer Android-Geräte vor deren Auslieferung. Bis Februar 2026 wurden über 13.000 infizierte Geräte dokumentiert – mit Schwerpunkten in Deutschland und den Niederlanden. Keenadu ermöglicht Werbebetrug, vollständige Gerätekontrolle und zielt explizit auf Bankdaten ab.
Auch der offizielle Google Play Store bleibt trotz verschärfter Kontrollen ein Einfallstor. In der „CallPhantom“-Kampagne wurden 28 Apps identifiziert, die als nützliche Tools getarnt waren und insgesamt 7,3 Millionen Downloads generierten. Sie lockten Nutzer in kostspielige Abonnements mit Gebühren von bis zu 80 US-Dollar pro Jahr.
Der Trojaner „SparkCat“ zeigt die technologische Evolution der Angreifer. Laut Kasperskey sucht diese Malware in Fotogalerien gezielt nach Screenshots von Krypto-Seed-Phrasen. Mittels optischer Zeichenerkennung werden die Sicherheitswörter ausgelesen und an die Angreifer übermittelt.
KI-gesteuerte Angriffe und Hardware-Lücken
Die Integration künstlicher Intelligenz hat mit „PromptSpy“ eine neue Stufe erreicht. Es gilt als eine der ersten bekannten Schadsoftwares, die Googles Gemini-KI für bösartige Zwecke instrumentalisiert. PromptSpy extrahiert sensible Daten direkt vom Sperrbildschirm des Smartphones.
Laut IBM X-Force basieren 2026 bereits 75 Prozent aller erfolgreichen Angriffe auf Social Engineering.
Zusätzlich belasten kritische Hardware-Lücken die Infrastruktur. Im Mai 2026 wurden zwei schwerwiegende Schwachstellen publik:
- CVE-2026-0073: Eine Zero-Click-Lücke über die Android Debug Bridge (ADB), die Fernzugriff im selben WLAN-Netz ohne Nutzerinteraktion ermöglicht.
- CVE-2026-0049: Eine Zero-Interaction-Lücke: Eine manipulierte Bilddatei (via WhatsApp, Telegram oder E-Mail) bringt das Gerät zum Absturz – oft ist ein vollständiger Factory Reset nötig.
Sicherheitslücken in Snapdragon-Chipsätzen (CVE-2026-25262) und eine Schwachstelle in der MediaTek-Firmware (CVE-2026-20435) betreffen potenziell bis zu 25 Prozent aller Android-Geräte. Patches kommen oft zeitverzögert durch die Hersteller.
Banken haften: Urteil mit Signalwirkung
Ein Urteil des Landgerichts Berlin II (Az. 38 O 293/25) vom 22. April 2026 verschärft die rechtliche Lage. Die Apobank wurde verurteilt, für einen Phishing-Schaden von über 200.000 Euro zu haften. Das Gericht sah die Verantwortung beim Institut, da die Sicherheitsmechanismen den Angriff nicht effektiv unterbunden hatten.
In Österreich verlor ein Opfer über 30.000 Euro durch eine Phishing-Welle rund um die Verlängerung von ID-Austria-Zertifikaten. Über 300.000 Nutzer waren betroffen.
Unternehmen reagieren mit verschärften Zugangskontrollen. Der Software-Anbieter Bexio führte nach einer Serie von Phishing-Angriffen eine verpflichtende Zwei-Faktor-Authentifizierung für alle über 100.000 Kunden ein. Angreifer hatten IBAN-Informationen auf Rechnungen manipuliert.
Android 17: Rettung in Sicht?
Google kündigte für Juni 2026 die Veröffentlichung von Android 17 an. Kernmerkmal: „Binary Transparency“ – ein Verfahren, das die Integrität von Software-Paketen sicherstellt und Manipulationen an Systemdateien erschwert.
Die US-Fernmeldebehörde FCC verschärft zudem die Regeln für die Identitätsprüfung bei der Telefonnummern-Aktivierung. Ziel ist es, Spoofing-Angriffe zu minimieren – eine schwedische Nutzerin erlitt dadurch einen Schaden von 900.000 SEK.
Da kritische Hardware-Lücken und verzögerte Hersteller-Patches ein permanentes Risiko darstellen, ist ein proaktives Update-Management unverzichtbar für die Datensicherheit. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken schließen und Ihr Gerät mit den richtigen Einstellungen dauerhaft schützen. Android-Sicherheits-Ratgeber jetzt kostenlos herunterladen
Der Faktor Mensch bleibt die größte Schwachstelle
Analysten weisen darauf hin, dass noch immer 94 Prozent der Android-Apps unsichere HTTP-Verbindungen nutzen. Ein erhebliches latentes Risiko.
Während Anbieter wie Samsung mit dem Galaxy S26 Ultra auf lokale Datenverarbeitung und „Agentic AI“ setzen, klafft eine Diskrepanz in der Selbstwahrnehmung der Nutzer. Laut YouGov halten 74 Prozent der Deutschen ihre Passwörter für sicher – aber nur 32 Prozent nutzen moderne Alternativen wie Passkeys.
Die Branche steht vor einer doppelten Herausforderung: Sie muss die technische Infrastruktur gegen Zero-Click-Exploits härten und gleichzeitig die Nutzerresistenz gegen immer perfektere KI-generierte Betrugsversuche stärken.
