Kriminelle setzen auf KI-gestützte Malware, manipulierte QR-Codes und psychologische Tricks. Die wirtschaftlichen Schäden gehen in die Milliarden.
CallPhantom-Kampagne: 7,3 Millionen Downloads für leere Versprechen
Sicherheitsforscher von ESET haben 28 betrügerische Android-Apps im Google Play Store entlarvt. Die Apps versprachen Zugriff auf Anrufprotokolle und SMS beliebiger Nummern – gegen Gebühren zwischen 6 und 80 US-Dollar pro Jahr.
Die Realität sah anders aus. Nutzer erhielten nach der Zahlung nur zufällig generierte Daten, getarnt als echte Systeminformationen. Über 7,3 Millionen Downloads verzeichnete die Kampagne, bevor Google die Apps im Dezember entfernte. Der geografische Schwerpunkt lag mit 53 Prozent in Indien und dem asiatisch-pazifischen Raum.
Die Hintermänner umgingen geschickt Googles Zahlungssystem. Sie wickelten Transaktionen direkt über Drittanbieter oder Kreditkarten ab. Bestehende Abonnements wurden inzwischen durch den Plattformbetreiber gekündigt.
Malware aus der Fabrik: Keenadu und TCLBANKER
Noch heimtückischer sind Bedrohungen, die bereits in der Geräte-Firmware stecken. Kaspersky entdeckte die Malware Keenadu auf neuen Android-Smartphones. Bis Februar 2026 wurden über 13.000 infizierte Geräte identifiziert – mit Schwerpunkten in Deutschland, Japan, Russland, Brasilien und den Niederlanden.
Die Schadsoftware sitzt tief im System. Für Verbraucher ist sie kaum erkennbar. Keenadu ermöglicht Werbebetrug, Fernsteuerung und gezielten Zugriff auf Bankdaten.
Angesichts der rasanten Entwicklung bei Banking-Trojanern und tief im System versteckter Schadsoftware ist ein proaktiver Schutz wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen fünf einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos entdecken
Parallel verbreitet sich der Banking-Trojaner TCLBANKER über WhatsApp und Microsoft Outlook. Die Wurm-Komponente SORVEPOTEL zielt auf 59 Finanzplattformen und Kryptobörsen ab. Die Methode: Gefälschte Anmeldefenster legen sich über legitime Banking-Apps und fangen Einmalpasswörter sowie Zwei-Faktor-Codes ab.
Die Verbreitung läuft über Social Engineering. Nutzer werden dazu gebracht, schädliche APK-Dateien zu installieren oder auf präparierte Links zu klicken – oft getarnt als Nachrichten eines Kundenservice-Bots.
KI-Malware und kritische Chip-Lücken
PromptSpy ist die erste Android-Malware, die Googles KI-Modul Gemini für Datendiebstahl nutzt. Sie greift Informationen direkt vom Sperrbildschirm ab. Gleichzeitig warnen Sicherheitsbehörden vor KI-gestütztem Stimmenklonen. Drei Sekunden Audiomaterial reichen für täuschend echte Schockanrufe.
Auf Hardware-Ebene klafft eine kritische Lücke in Snapdragon-Chips (CVE-2026-25262). CERT-In kommunizierte die Schwachstelle Anfang Mai. Auch Android 16 hat ein Problem: Ein Leck im VPN-Tunnel über das QUIC-Protokoll wurde entdeckt. Das GrapheneOS-Projekt veröffentlichte Anfang Mai ein Sicherheitsupdate.
Der Trojaner CloudZ RAT nutzt Microsofts Phone Link-Funktion aus. Er liest SMS mit Verifizierungscodes mit und übernimmt Konten. Branchenexperten schätzen: Rund 40 Prozent der aktiven Android-Geräte erhalten derzeit keine aktuellen Sicherheits-Patches.
Milliarden-Schäden und erste Urteile
Der weltweite Schaden durch mobile Angriffe wird für 2026 auf 21 Milliarden US-Dollar geschätzt. Die US-Handelsbehörde FTC meldete für das Vorjahr 3,5 Milliarden US-Dollar Schaden durch Imposter-Betrug bei über einer Million Fällen.
Besonders dynamisch: Quishing – Phishing über manipulierte QR-Codes. Analysten verzeichneten im ersten Quartal 2026 einen Anstieg um 146 Prozent auf über 18 Millionen Fälle.
Das hat juristische Folgen. Das Landgericht Berlin II entschied am 22. April: Die Apobank muss einem Kunden über 200.000 Euro ersetzen. Der Kunde war Opfer eines Quishing-Angriffs geworden. Das Gericht stellte keine grobe Fahrlässigkeit fest.
Erste Anbieter reagieren. Der Schweizer Cloud-Dienst bexio führte eine verpflichtende Zwei-Faktor-Authentifizierung ein. Apple stimmte einem Vergleich über 250 Millionen US-Dollar im Zusammenhang mit KI-Werbung zu.
Da ein erheblicher Teil der Android-Geräte keine aktuellen Sicherheits-Patches erhält, bleiben viele Smartphones eine offene Haustür für Cyberkriminelle. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken durch die richtigen Update-Einstellungen schließen und Malware dauerhaft verhindern. Kostenlosen Android-Sicherheits-Ratgeber herunterladen
Der Faktor Mensch bleibt die größte Schwachstelle
Trotz technischer Aufrüstung: Über 75 Prozent der Sicherheitsvorfälle basieren auf Social Engineering, so IBM X-Force. Angreifer setzen Nutzer mit erfundener Dringlichkeit unter Druck.
Die Kampagne „Operation Road Trap“ in der Schweiz zeigt das Muster: Seit Ende 2025 wurden über 79.000 betrügerische SMS versendet. Sie enthielten fingierte Parkbußen oder Mautgebühren mit extrem kurzen Zahlungsfristen.
Die Sicherheitswahrnehmung der Nutzer klafft weit auseinander. Eine YouGov-Studie zeigt: 74 Prozent der Deutschen halten ihre Passwörter für sicher. Aber nur 32 Prozent nutzen moderne Alternativen wie Passkeys. Das macht es Trojanern leicht, über einfache Overlay-Strukturen oder das Mitlesen von SMS auf Konten zuzugreifen.
Neue Sicherheitsstandards in Sicht
Die Branche reagiert mit verschärften Regeln. Die US-Fernmeldebehörde FCC verabschiedete striktere Regeln für die Identitätsprüfung bei neuen Telefonnummern. Google führt Binary Transparency ein – ein Verfahren, das seit dem 1. Mai die Integrität von Systemkomponenten schützt.
Für Juni 2026 wird Android 17 erwartet. Experten versprechen sich weitere integrierte Sicherheitsmechanismen. Apple plant zeitgleich iOS 27 und rollt bereits Updates gegen die Bedrohungen Coruna und DarkSword aus.
WhatsApp kündigte neue Kontoeinstellungen an. Sie sollen die unbefugte Verknüpfung von Geräten erschweren – ein häufiger Vektor bei Account-Übernahmen.
Bleibt die wichtigste Regel: Misstrauen gegenüber unaufgeforderten Kontaktaufnahmen. Besonders wenn Druck aufgebaut wird oder TANs auf unbekannten Websites eingegeben werden sollen. Im Betrugsfall hilft der Sperr-Notruf 116 116.
