Weltweit belaufen sich die Verluste durch Cyberkriminalität mit Fokus auf Smartphones auf schätzungsweise 442 Milliarden Euro. Besonders alarmierend: Rund 88 Prozent der Opfer erleiden einen unmittelbaren wirtschaftlichen Schaden.
In Deutschland stieg die Opferquote laut Branchenexperten auf elf Prozent – nach sieben Prozent im Vorjahr. Kriminelle setzen zunehmend auf spezialisierte Malware und automatisierte Betrugsmodelle.
Unsichtbare Gefahr: Malware tarnt sich als harmlose App
Die Schadsoftware wird immer komplexer. Ein Beispiel: die Malware-Familie „BeatBanker“. Sicherheitsforscher von Kaspersky beobachteten eine Kampagne, die sich als Starlink-Anwendung tarnte. Die Besonderheit: Eine nahezu unhörbare Audiodatei in Endlosschleife hält die Malware im Hintergrund aktiv. Ziel ist der Diebstahl von Kryptowährungs- und Bankdaten.
Angesichts der zunehmenden Angriffe auf mobile Bankdaten durch komplexe Malware wie „BeatBanker“ ist herkömmlicher Basisschutz oft nicht mehr ausreichend. Dieser kostenlose Ratgeber zeigt Ihnen, welche Maßnahmen Experten jetzt dringend empfehlen, um finanzielle Schäden zu verhindern. Die 5 wichtigsten Schutzmaßnahmen für Ihr Smartphone jetzt entdecken
Parallel dazu festigt der Banking-Trojaner „TCLBANKER“ seine Position. Er greift gezielt Informationen von 59 verschiedenen Plattformen ab. Die Verbreitung erfolgt oft über gefälschte App-Pakete (APKs). In Pakistan warnten Finanzexperten Mitte Mai vor einer Zunahme solcher Angriffe über SMS, WhatsApp oder Telegram.
Auch offizielle App-Stores sind betroffen: 28 schädliche Anwendungen der „CallPhantom“-Reihe wurden identifiziert – mit über 7,3 Millionen Downloads. Ein historisches Beispiel: Die App „iRecorder“ war bereits 2021 im Google Play Store, sammelte aber erst ein Jahr später unbemerkt Audio- und Videodaten.
Quishing: Wenn der QR-Code zur Falle wird
Neben klassischer Malware gewinnen neue Social-Engineering-Methoden an Bedeutung. „Quishing“ – Phishing über manipulierte QR-Codes – verzeichnete im ersten Quartal 2026 einen Anstieg um 150 Prozent auf 18 Millionen Vorfälle weltweit.
Die Täter nutzen die Allgegenwärtigkeit von QR-Codes bei Bezahlvorgängen oder digitalen Speisekarten. Ein Fall aus Köln: Eine Nutzerin verlor 300 Euro nach einer gefälschten Park-App in Kopenhagen. Die Abbuchungen erfolgten zeitverzögert in kleinen Beträgen – die Entdeckung wurde erschwert.
Noch raffinierter: „Device-Code-Phishing“. Angreifer missbrauchen legitime Autorisierungsprozesse von Cloud-Diensten wie Microsoft 365 oder Adobe. Über kriminelle Dienstleister wie „EvilTokens“ werden fertige Landing-Pages angeboten. Da hierbei Zugriffstoken statt Passwörter gestohlen werden, greifen herkömmliche Schutzmaßnahmen oft nicht.
Der kriminelle Markt: iPhones entsperren für 50 Dollar
Die Professionalisierung zeigt sich in spezialisierten Untergrundmärkten. Auf Telegram werden Dienste zum Entsperren gestohlener iPhones angeboten – oft zwischen 5 und 50 US-Dollar. Zum Einsatz kommen nicht nur Phishing-Seiten, sondern auch KI-basierte Sprachsoftware, um Passcodes zu entlocken.
In den USA werden jährlich schätzungsweise 7,35 Millionen iPhones gestohlen. Ein Fall aus São Paulo zeigt die Geschwindigkeit der Täter: Einem Opfer wurden innerhalb von 36 Minuten nach dem Raub rund 30.000 Euro entwendet.
KI gegen Cyberkriminalität: Neue Schutzfunktionen für Android und iOS
Die Hersteller reagieren mit umfassenden Sicherheits-Updates. Google hat für Android 17 KI-basierte Funktionen angekündigt. Die „Live Threat Detection“ erkennt verdächtige App-Aktivitäten in Echtzeit. Neue Mechanismen wie „Theft Detection Lock“ oder „Remote Lock“ sperren Geräte bei unbefugtem Zugriff schneller – etwa nach sieben fehlgeschlagenen Authentifizierungsversuchen innerhalb von 15 Minuten.
Apple schloss mit iOS 26.5 mehr als 60 Sicherheitslücken, darunter eine kritische Schwachstelle (CVE-2026-28951). Zudem unterstützen große deutsche Netzbetreiber wie Telekom, O2 und 1&1 nun die RCS-Verschlüsselung (MLS).
Für besonders gefährdete Nutzer wie Journalisten hat Google ein „Android Intrusion Logging“-Tool eingeführt. Es ermöglicht detaillierte forensische Analysen von Sicherheitsereignissen. Dennoch bleiben Herausforderungen: In Android 16 wurde die Schwachstelle „Tiny UDP Cannon“ entdeckt, die Datenlecks außerhalb von VPN-Tunneln ermöglicht. Entwickler von GrapheneOS veröffentlichten bereits Mitte Mai einen Fix.
Wer haftet bei Phishing? Gericht stärkt Verbraucher
Ein Urteil des Landgerichts Berlin II schafft Klarheit: Banken haften grundsätzlich für Phishing-Schäden – sofern dem Kunden keine grobe Fahrlässigkeit nachzuweisen ist. Dennoch warnen Institute wie DKB oder ING vor zeitlichem Druck als klassischem Warnsignal. Banken fragen niemals Passwörter oder TAN per E-Mail oder SMS ab.
Besondere Vorsicht ist bei angeblichen Gewinnspielen geboten. Die Verbraucherzentralen warnten zuletzt vor gefälschten E-Mails im Namen von Aldi, Rewe oder Edeka. Auch Messenger-Dienste bleiben riskant: Ein von Amnesty International aufgedeckter „Snowball“-Angriff auf Signal-Nutzer zeigte, wie Accounts über verknüpfte Geräte übernommen werden können. Über 13.500 Ziele wurden identifiziert.
Da Hacker immer raffiniertere Wege wie „Snowball“-Angriffe nutzen, um private Messenger-Konten zu übernehmen, wird ein aktiver Geräteschutz zur Pflicht. Sichern Sie Ihr Smartphone in nur wenigen Minuten effektiv gegen unbefugte Zugriffe und Datenmissbrauch ab. Kostenlosen Sicherheits-Ratgeber für Smartphones hier anfordern
Ausblick: Hyper-personalisierte Angriffe als neue Normalität
Die Cyberkriminalität entwickelt sich weg von Massenangriffen hin zu hyper-personalisierten Kampagnen. Berichte des Weltwirtschaftsforums zeigen: 77 Prozent der Führungskräfte waren bereits von Phishing-Versuchen betroffen. „Phishing-as-a-Service“-Modelle senken die Eintrittshürden für Kriminelle massiv – sie kommen in 90 Prozent der Kampagnen zum Einsatz.
Der Schutz vor mobiler Malware wird künftig auf verhaltensbasierten KI-Modellen und dem Zero-Trust-Prinzip basieren. Die Ausgaben für Betrugserkennungssysteme sollen bis Ende des Jahrzehnts auf 39 Milliarden US-Dollar steigen. Doch der Faktor Mensch bleibt die entscheidende Schwachstelle.
Sicherheitsbehörden empfehlen: Zwei-Faktor-Authentifizierung aktivieren, einzigartige Passwörter verwenden und Skepsis gegenüber unaufgeforderten Kontaktversuchen – egal ob per Telefon, SMS oder Messenger.
