Sicherheitsforscher warnen vor hochentwickelten Banking-Trojanern und einem dramatischen Anstieg von NFC-basierten Zahlungsbetrugsfällen. Besonders betroffen: der Android-Plattform.
OverlayPhantom: Trojaner tarnt sich als Google-Update
Seit Mai 2025 ist ein neuer Banking-Trojaner namens OverlayPhantom aktiv, der über Phishing-Links verbreitet wird. Die Masche ist perfide: Die Schadsoftware tarnt sich als Google-Play-Update, installiert sich in zwei Stufen und missbraucht dann den Android Accessibility Service, um tiefe Systemrechte zu erlangen.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Sicherheitsmaßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Einmal installiert, kann OverlayPhantom über 30 verschiedene Fernbefehle ausführen – darunter Live-Bildschirmübertragung und das Einblenden gefälschter HTML-Anmeldefenster. Diese sogenannten Overlays zielen auf Zugangsdaten von über 180 Bank-, Finanz- und Kryptowährungs-Apps ab. Betroffen sind Nutzer in zehn Ländern, darunter Deutschland, die USA, Australien und Großbritannien.
Parallel dazu verbreitet sich der BTMOB-Remote-Access-Trojaner. Was diesen besonders gefährlich macht: Er wird über einen No-Code-APK-Builder vertrieben. Für eine lebenslange Lizenzgebühr von rund 4.600 Euro können selbst Angreifer ohne Programmierkenntnisse maßgeschneiderte Schadsoftware erstellen. Die monatliche Abogebühr kommt noch obendrauf.
NFC-Angriffe: 188 Prozent mehr Betrugsfälle
Während Trojaner auf Fernzugriff setzen, boomen auch Angriffe auf die physische Ebene. Die Zahl der NFC-Relay-Angriffe auf Android-Smartphones ist zwischen Januar und April 2026 im Vergleich zum Vorjahreszeitraum um 188 Prozent gestiegen. Das belegt die Telemetrie von Kaspersky.
Allein in den ersten vier Monaten dieses Jahres blockierten Sicherheitslösungen 35.600 solcher Attacken – vor einem Jahr waren es noch 12.300. Die Angreifer nutzen Malware-Familien wie SuperCard X, PhantomCard und NGate. Zwei Methoden dominieren: Beim „Direct NFC“-Verfahren kapern die Täter Kartendaten direkt über die Schadsoftware. Beim „Reverse NFC“-Trick werden Opfer dazu gebracht, Geld auf das Gerät der Angreifer zu überweisen.
Ein Schwerpunkt der Attacken liegt in Russland, doch auch europäische und lateinamerikanische Märkte sind zunehmend betroffen.
Lazarus-Gruppe: 577 Millionen Dollar Krypto-Diebstahl
Im Bereich der gehobenen Cyber-Spionage und des Finanzdiebstahls sorgt die berüchtigte Lazarus-Gruppe mit einer neuen dateilosen Bedrohung namens RemotePE für Aufsehen. Der Trojaner arbeitet ausschließlich im Arbeitsspeicher des Geräts, hinterlässt keine Spuren auf der Festplatte und umgeht so klassische Virenscanner und Endpoint-Detection-Systeme.
Die Infektion beginnt meist mit betrügerischen Telegram-Links zu Terminplanungs-Tools wie Calendly oder Picktime. Die finanziellen Schäden sind enorm: Branchenberichten zufolge war die Lazarus-Gruppe in den ersten vier Monaten des Jahres 2026 für Kryptowährungs-Diebstähle in Höhe von 577 Millionen Dollar verantwortlich – das entspricht 76 Prozent aller weltweiten Krypto-Verluste in diesem Zeitraum.
Lieferketten-Angriff: TrapDoor bedroht Entwickler
Ein weiterer Alarmruf kommt aus der Entwickler-Community. Im Mai 2026 identifizierten Forscher von Socket einen Supply-Chain-Angriff namens TrapDoor. 34 schädliche Pakete auf den Plattformen npm, PyPI und Crates.io zielen gezielt auf Kryptowährungs-Wallets und Cloud-Zugangsdaten ab.
Besonders perfide: Die Malware ist darauf ausgelegt, KI-gestützte Programmier-Assistenten wie Claude und Cursor zu manipulieren. Das deutet auf eine neue Ära KI-verstärkter Angriffsstrategien hin.
Chromium-Lücke: Browser als Botnet-Knoten
Eine seit Langem bekannte Sicherheitslücke in der Chromium Background Fetch API rückt erneut in den Fokus. Nach der versehentlichen Veröffentlichung von Proof-of-Code am 20. Mai 2026 könnten Angreifer Browser wie Chrome, Edge und Brave in Botnet-Knoten verwandeln. Firefox und Safari sind nicht betroffen. Ein offizieller Patch für Chromium-basierte Browser steht noch aus – dabei bilden sie die Grundlage für den Großteil der Android-Webnavigation.
Motorola-Smartphones: Affiliate-Links ohne Wissen der Nutzer
Auch der legale Hardware-Markt sorgt für Misstrauen. Berichte der vergangenen Tage zeigen, dass bestimmte Motorola-Smartphones – darunter das Razr 60 Ultra – Amazon-App-Links über eine Drittanbieter-URL mit Affiliate-Marketing-Hintergrund umleiten. Die Smart-Feed-App (Version 2.03.0070) hängt offenbar Affiliate-Codes an diese Klicks an und leitet den Traffic zur Domain devicenative.com um.
Ob es sich um eine bewusste Monetarisierungsstrategie oder eine Kompromittierung der Anwendung handelt, ist vom Hersteller noch nicht bestätigt. Sicherheitsexperten empfehlen, die Smart-Feed-App zu deaktivieren.
Phishing-as-a-Service: Vom SMS-Betrug zur verschlüsselten Nachricht
Die Professionalisierung der mobilen Finanzkriminalität schreitet rasant voran. Phishing-as-a-Service-Plattformen (PhaaS) setzen zunehmend auf verschlüsselte Nachrichtendienste statt klassischer SMS. Die Google Threat Intelligence Group identifizierte Plattformen wie YY Lai Yu, die seit August 2024 aktiv sind und RCS und iMessage nutzen, um die Sicherheitsfilter der Mobilfunkanbieter zu umgehen.
Diese Plattformen stellen Angreifern in über 100 Ländern hunderte Phishing-Vorlagen zur Verfügung. Das Ziel: die Echtzeit-Übernahme von Finanzkonten und das Abfangen von Einmalpasswörtern (OTPs).
Angesichts der Millionen gehackten Konten pro Quartal ist herkömmlicher Passwort-Schutz oft nicht mehr ausreichend. Wie Sie Ihre Online-Konten bei Diensten wie WhatsApp oder Amazon stattdessen mit der neuen Passkey-Technologie effektiv absichern, zeigt dieser kostenlose Report. Kostenlosen Passkey-Ratgeber herunterladen
Auch die Suchmaschinen-Infrastruktur wird für groß angelegte Diebstähle genutzt. Seit März 2026 verzeichnet die Security Alliance (SEAL) einen Anstieg betrügerischer Google-Suchanzeigen, die sich als dezentrale Finanzplattformen wie Uniswap ausgeben. Eine einzige Kampagne kostete einen Händler über 400.000 Dollar. Zwischen dem 13. und 30. März blockierte SEAL 356 schädliche Werbelinks – der Gesamtschaden wird auf 1,27 Millionen Dollar geschätzt.
Ausblick: Hardware-basierte Authentifizierung als Schlüssel
Die rasante Entwicklung der Android-Malware deutet auf eine Bewegung hin zu noch schwerer fassbaren und automatisierten Angriffsvektoren hin. Der Erfolg dateiloser Trojaner und der Aufstieg von No-Code-Malware-Baukästen senken die Einstiegshürde für komplexe Finanzdiebstähle – während die technische Raffinesse der Werkzeuge gleichzeitig zunimmt.
Sicherheitsexperten setzen daher auf hardwarebasierte Authentifizierung. Standards wie FIDO2 und WebAuthn gelten als wirksame Mittel gegen Phishing und Passwortdiebstahl. Auch die rechtliche Aufarbeitung schreitet voran: Eine kürzlich erzielte Einigung über 135 Millionen Dollar im Zusammenhang mit Googles unbefugten Datentransfers auf Android-Geräten zeigt, dass die Datenschutzpraktiken der Mobilbetriebssysteme zunehmend unter die Lupe genommen werden.
Für Nutzer bleibt die Devise: App-Berechtigungen kritisch prüfen, insbesondere den Accessibility Service, und bei unaufgeforderten Nachrichten über verschlüsselte Messenger-Plattformen höchste Vorsicht walten lassen.
