Aktuelle Analysen zeigen: Hacker greifen tief in Betriebssysteme ein und missbrauchen legitime Dienste wie WhatsApp und Microsoft Phone Link. Millionen Downloads von Betrugssoftware und vorinstallierte Malware in der Geräte-Firmware beweisen: Verbraucher müssen handeln.
Betrugs-Apps: 7,3 Millionen Downloads für leere Versprechungen
Sicherheitsforscher von ESET entdeckten 28 betrügerische Android-Apps unter dem Namen „CallPhantom“. Sie versprachen unbefugten Zugriff auf Anrufprotokolle, Nachrichten und WhatsApp-Daten. Die Realität: Nach einer Zahlung von bis zu 80 Dollar pro Jahr zeigten die Apps nur erfundene Daten. Trotzdem erreichten sie rund 7,3 Millionen Downloads. Die Betrüger umgingen sogar das offizielle Zahlungssystem von Google Play. Erst im Dezember 2025 entfernte Google die Apps nach einem Hinweis.
Angesichts der Millionen von infizierten Apps ist ein gezielter Schutz vor Hackern und Internet-Kriminalität für jeden Smartphone-Nutzer heute unverzichtbar. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Ihr Gerät in wenigen Minuten mit fünf einfachen Schritten effektiv absichern. 5 Schutzmaßnahmen für Android-Smartphones jetzt kostenlos sichern
Noch perfider ist die Malware-Familie „Keenadu“. Kaspersky-Experten fanden sie teilweise ab Werk in der Firmware neuer Geräte. Im Februar 2026 zählten sie über 13.000 infizierte Smartphones weltweit – besonders in Deutschland, den Niederlanden und Brasilien. Während manche versionen nur Werbebetrug betreiben, ermöglichen die Firmware-Backdoors eine vollständige Fernsteuerung und den Zugriff auf Bankdaten.
Trojaner nutzt WhatsApp und Outlook als Verbreitungsweg
Ein neuer Banking-Trojaner namens „TCLBANKER“ zielt auf Kunden von 59 Banken und Kryptobörsen. Die Verbreitung läuft über kompromittierte WhatsApp- und Outlook-Konten. Eine Wurm-Komponente namens „SORVEPOTEL“ verbreitet sich automatisch über Kontaktlisten. Einmal installiert, fängt der Trojaner Anmeldedaten ab, liest Zwei-Faktor-Codes aus und führt unautorisierte Transaktionen durch.
Auch legitime Funktionen werden zweckentfremdet. Cisco Talos warnt vor dem „CloudZ RAT“, einem Fernzugriffstrojaner. Er nutzt Microsofts „Phone Link“ aus, um SMS und Einmalpasswörter direkt vom PC abzugreifen – ohne das Mobilgerät selbst zu infizieren. Die Attacke beginnt meist mit einer gefälschten Software-Installation auf dem Desktop.
Android 16: Sicherheitslücke im VPN-Tunnel
In Android 16 entdeckten Forscher eine Schwachstelle im QUIC-Protokoll. Sie erlaubt Apps, den VPN-Tunnel zu umgehen. Google hält eine Behebung in der Standard-Version für nicht praktikabel. Das Sicherheitsprojekt GrapheneOS veröffentlichte Anfang Mai ein Update, das den Leck schließt. Standard-Nutzer können die Lücke nur provisorisch über spezifische ADB-Befehle absichern.
So schützen Sie sich: Mehrschichtige Verteidigung
Apple forderte Nutzer Anfang Mai auf, Updates gegen die Schwachstellen „Coruna“ und „DarkSword“ zu installieren. Sie ermöglichen Code-Ausführung über manipulierte Webinhalte. Für iOS 13 und 14 ist ein Upgrade auf mindestens iOS 15 nötig.
Experten empfehlen darüber hinaus:
Berechtigungsmanagement: Prüfen Sie regelmäßig, welche Apps auf Mikrofon, Kamera oder Standort zugreifen. Besonders die Berechtigungen für Bedienungshilfen werden von Malware missbraucht.
Social Engineering erkennen: 2025 gab es über eine Million Fälle von Imposter-Betrug, zunehmend mit KI-Stimmenklonung. Die Verluste beliefen sich auf über 3,5 Milliarden Dollar. Seien Sie skeptisch bei unangeforderten Anrufen.
Um Sicherheitslücken wie die in Android 16 effektiv zu schließen und Datenverlust zu vermeiden, sind regelmäßige Systemaktualisierungen die wichtigste Verteidigungslinie. Dieser Gratis-Report zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone durch korrekte Updates dauerhaft gegen Malware absichern. Kostenlosen Android-Update-Ratgeber herunterladen
Sicherer Geräteverkauf: Ein einfacher Factory Reset reicht nicht. Verschlüsseln Sie das Gerät zuerst, setzen Sie es zurück, überschreiben Sie den Speicher mit großen Videodateien und führen Sie erst dann einen finalen Reset durch.
Keine Drittanbieter-Quellen: Das indische CERT-In warnt vor Apps aus inoffiziellen Quellen. Sie enthalten oft Schadcode, der Sicherheitslücken in Snapdragon-Prozessoren ausnutzt.
Regulierung: Strafen und neue Gesetze
Die US-Telekommunikationsbehörde FCC verabschiedete Ende April einen Vorschlag zur strikten Identitätsprüfung vor der Aktivierung neuer Telefonnummern. Ziel ist die Bekämpfung illegaler Robocalls.
Unternehmen werden zur Kasse gebeten: General Motors einigte sich im Mai auf eine Strafzahlung von 12,75 Millionen Dollar. Der Autobauer hatte Fahr- und Standortdaten von Hunderttausenden Kunden ohne Zustimmung an Datenbroker verkauft. Auch Apple stimmte einem Vergleich über 250 Millionen Dollar zu – wegen irreführender Werbung zu KI-Funktionen in Siri.
Ausblick: Android 17 und neue EU-Regeln
Für Juni 2026 wird Android 17 erwartet, das neue Datenschutzstandards einführen soll. Googles Mai-Update für das Pixel 10 verhindert zudem ein Downgrade auf ältere Systemversionen (Anti-Rollback).
Auf europäischer Ebene könnte das abgeschlossene Konsultationsverfahren zur Android-Interoperabilität unter dem Digital Markets Act für Veränderungen sorgen. Drittanbieter sollen effektiven Zugang zu Systemfunktionen erhalten – ein Gewinn für Wettbewerb, aber eine neue Herausforderung für die Sicherheit.
