Die weltweite Bedrohung durch Cyberkriminalität auf mobilen Endgeräten erreicht 2026 eine neue Dimension: Der globale Schaden durch mobile Angriffe liegt Schätzungen zufolge bei rund 21 Milliarden US-Dollar. Besonders perfide: Kriminelle nutzen zunehmend Messaging-Dienste, um Nutzer mit falschen Gewinnversprechen in die Falle zu locken.
Banking, PayPal und WhatsApp auf dem Smartphone sind bequem, machen Sie aber auch zum Ziel für Kriminelle. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Sofort-Maßnahmen, mit denen Sie Ihr Android-Gerät wirksam gegen Hacker absichern. Sicherheits-Checkliste jetzt kostenlos anfordern
Die WhatsApp-Falle mit Ausweisfotos
In den letzten Tagen haben Verbraucherschützer verstärkt vor einer Betrugswelle gewarnt, die über WhatsApp verbreitet wird. Die Täter kontaktieren potenzielle Opfer und stellen ihnen finanzielle Vorteile in Aussicht – von angeblichen Entschädigungszahlungen über Krypto-Gewinne bis hin zu lukrativen Jobangeboten. Um diese vermeintlichen Gelder auszuzahlen, fordern sie Fotos offizieller Ausweisdokumente.
Die Gefahr ist erheblich: Mit Ausweisfotos können Kriminelle Bankkonten eröffnen oder Kredite beantragen. Experten raten dringend davon ab, solche Dokumente über Messenger zu versenden. Seriöse Unternehmen oder Behörden fordern sensible Daten niemals auf diesem Weg an.
Flankiert wird diese Masche von sogenannten „Recovery Scams“. Wie die Verbraucherzentrale Hessen berichtet, werden Personen, die bereits Opfer eines Betrugs wurden, ein zweites Mal ins Visier genommen. Die Täter geben sich als Anwälte oder Behördenmitarbeiter aus und versprechen, verlorene Gelder gegen eine Gebühr zurückzuholen.
Sicherheitslücken in WhatsApp
Parallel zum Social Engineering nutzen Angreifer technische Schwachstellen aus. Mitte Mai 2026 wurden zwei Sicherheitslücken in WhatsApp bekannt, die das Sicherheitsunternehmen Malwarebytes dokumentierte.
Die Schwachstelle CVE-2026-23866 betrifft ältere WhatsApp-Versionen für iOS und Android. Sie ermöglicht es, über manipulierte Instagram-Reels-Links unbemerkt Inhalte von externen Servern nachzuladen. Eine zweite Lücke, CVE-2026-23863, betrifft die Windows-Version: Dateianhänge können durch NUL-Zeichen in Dateinamen als harmlos getarnt werden, während sie schädlichen Code enthalten.
Zusätzlich gibt es Warnungen vor gefälschten App-Versionen. Anfang April musste WhatsApp rund 200 Nutzer vor einer modifizierten, schädlichen Version warnen. Niederländische Geheimdienste berichten zudem, dass staatlich gesteuerte Hackergruppen gezielt Chat-Accounts von Würdenträgern und Militärangehörigen übernehmen wollen.
Betrügerische Apps im Google Play Store
Ein weiteres Risiko: manipulierte Apps, die trotz Sicherheitskontrollen in offizielle Marktplätze gelangen. Aktuelles Beispiel: 28 Android-Apps unter dem Namen „CallPhantom“ waren im Google Play Store verfügbar. Sie firmierten unter dem seriös klingenden Entwicklernamen „Indian gov.in“ und versprachen Zugriff auf fremde Anruflisten.
Nach Analysen des Sicherheitsunternehmens ESET generierten die Apps nur Zufallsdaten, während sie hohe Abonnementgebühren zwischen 6 und 80 US-Dollar verlangten. Insgesamt wurden sie über 7,3 Millionen Mal heruntergeladen – der Schwerpunkt der Opfer lag in der Region Asien-Pazifik.
Veraltete Systeme bieten Hackern oft leichtes Spiel, da kritische Sicherheitslücken nicht mehr geschlossen werden. Erfahren Sie in diesem Gratis-Report, wie Sie durch die richtigen Updates Malware und Datenmissbrauch auf Ihrem Android-Gerät dauerhaft verhindern können. Kostenlosen Update-Ratgeber hier herunterladen
Neben Abofallen bedroht spezialisierte Malware Smartphones. Der Android-Trojaner „TCLBanker“ zielt auf 59 verschiedene Finanz-Apps ab, darunter Banking-Anwendungen und Kryptoplattformen. Die Verbreitung erfolgt oft über WhatsApp oder Outlook. Ergänzend warnen Forscher vor „PromptSpy“, einer KI-basierten Malware, die Daten direkt vom Sperrbildschirm extrahieren kann.
Hybrid-Kriminalität und Quishing
Die aktuelle Bedrohungslage zeichnet sich durch eine Verschmelzung von physischer und digitaler Kriminalität aus. Sicherheitsbehörden beobachten eine Welle von Hybrid-Cyberkriminalität: Der physische Diebstahl eines iPhones ist nur der erste Schritt. Anschließend erhalten die Bestohlenen Phishing-SMS, die angeblich vom Apple-Support stammen, um die Apple-ID abzugreifen.
Die statistische Relevanz ist beachtlich. 2025 war bereits jeder neunte Deutsche von Cyberkriminalität betroffen. Besonders stark wächst das „Quishing“ – Phishing mittels QR-Codes. Im ersten Quartal 2026 wurden weltweit rund 18,7 Millionen Fälle registriert – eine Steigerung von 146 Prozent.
Auch hardwarebasierte Angriffe nehmen zu. In der Schweiz wurde ein Täter verhaftet, der mit einem im Auto installierten „SMS-Blaster“ rund 50.000 Phishing-Nachrichten an Mobiltelefone in der Umgebung versendet hatte.
Ausblick: Neue Betriebssysteme und Support-Ende
Für Juni 2026 wird die Vorstellung von Android 17 und iOS 27 erwartet, die voraussichtlich weitere Sicherheitsfeatures enthalten. Meta hat bereits reagiert und die optionale Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten Anfang Mai eingestellt – die Funktion wurde kaum genutzt. Bei WhatsApp bleibt die Verschlüsselung Standard.
Nutzer älterer Geräte müssen sich auf Einschränkungen einstellen. Für den 8. September 2026 ist das Support-Ende von WhatsApp für Android 5.0 und iOS 13 angekündigt. Experten raten, verdächtige Nachrichten mit Gewinnversprechen konsequent zu ignorieren und keine persönlichen Dokumente an unbekannte Kontakte zu übermitteln.
Die rechtliche Lage entwickelt sich ebenfalls weiter: Das Landgericht Berlin II entschied kürzlich, dass Banken in bestimmten Fällen für Schäden durch Phishing-Angriffe haften müssen – ein wichtiger Schritt für den Verbraucherschutz.
