Im Fokus stehen Banking-Apps und die NFC-Schnittstelle.
Banking, PayPal und Online-Shopping – wer sein Android-Smartphone täglich für Finanzen nutzt, ist ein attraktives Ziel für Hacker. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, mit denen Sie Ihr Gerät sofort effektiv absichern. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt kostenlos entdecken
OverlayPhantom bedroht 180 Finanz-Apps
Der IT-Sicherheitsdienstleister Cyble hat eine gefährliche Malware-Kampagne identifiziert. Der Banking-Trojaner „OverlayPhantom“ ist seit Mai 2025 aktiv und zielt auf mehr als 180 Anwendungen aus den Bereichen Banking, Finanzen und Kryptowährungen ab. Betroffen sind zehn Länder, darunter Deutschland, Frankreich, die USA und Großbritannien.
Die Infektion läuft in zwei Stufen ab: Nutzer werden über manipulierte URLs auf Dropper-Apps gelockt, die sich als vertrauenswürdige Dienste wie TikTok oder die ID Austria tarnen. Nach der Installation lädt die Software die eigentliche Malware nach – getarnt als Google Play Services. Der Trojaner missbraucht die Android-Eingabehilfen (Accessibility Services) und führt über 30 Fernsteuerungsbefehle aus. Dazu gehören das Echtzeit-Streaming des Bildschirms und gefälschte Overlays, die Login-Daten und Finanzinformationen abgreifen.
NFC-Angriffe um 188 Prozent gestiegen
Parallel dazu meldet Kaspersky einen drastischen Anstieg von Angriffen auf die NFC-Schnittstelle. Allein in den ersten vier Monaten des Jahres 2026 stieg die Zahl der Vorfälle um 188 Prozent. Ein konkreter Fall in Hamm Ende Mai zeigt das Schadenspotenzial: Bei Kunden deutscher Großbanken entstand durch manipulierte Transaktionen ein Gesamtschaden von über 10.000 Euro.
Ein Erfolg gegen die digitale Infrastruktur gelang unterdessen den Strafverfolgern. Die niederländische Polizei und das Nationale Zentrum für Cybersicherheit (NCSC) zerschlugen das Botnetz „Asocks“. Das Netzwerk umfasste rund 17 Millionen infizierte Geräte in 163 Ländern – darunter Smartphones, Router und Smart-Home-Komponenten. Die Infrastruktur diente als Proxy-Dienst, um Identitäten bei Phishing- und DDoS-Attacken zu verschleiern.
Ein veraltetes Android-System ist wie eine offene Haustür für Cyberkriminelle und Trojaner wie OverlayPhantom. Erfahren Sie in diesem kostenlosen PDF-Ratgeber, wie Sie Sicherheitslücken durch die richtigen Updates schließen und Ihr Smartphone dauerhaft vor Malware schützen. Kostenlosen Android-Update-Ratgeber hier herunterladen
Abo-Betrug und Lieferketten unter Druck
Ein weiterer Bericht von Zimperium dokumentiert eine Kampagne zwischen März 2025 und Januar 2026. Fast 250 manipulierte Android-Apps tarnten sich als populäre Spiele wie Minecraft oder soziale Medien wie Threads. Die Apps registrierten Nutzer unbemerkt für kostenpflichtige Premium-Dienste, fingen Einmalpasswörter (OTP) ab und automatisierten den Registrierungsprozess im Hintergrund. Betroffen waren vor allem Nutzer in Südostasien und Südosteuropa.
Die Software-Lieferketten geraten ebenfalls unter Druck. Der „Software Supply Chain Security Report 2026“ von JFrog verzeichnete einen Zuwachs von 451 Prozent bei schädlichen Paketen im npm-Verzeichnis. Insgesamt identifizierten die Forscher 177.000 neue Schadpakete. Der Anteil von Infostealer-Malware, die gezielt Unternehmensdaten ausspäht, stieg ebenfalls. Laut Flare Research waren Ende 2025 bereits 14 Prozent der analysierten Protokolle mit Unternehmenszugängen verknüpft – ein deutlicher Anstieg gegenüber 6 Prozent zu Beginn des Vorjahres.
Hersteller liefern Sicherheitsupdates
Die Smartphone-Hersteller reagieren auf die Bedrohungslage. Samsung rollt das Update One UI 8.5 auf Basis von Android 16 QPR2 für Mittelklasse-Modelle wie das Galaxy M55 und Geräte der A-Serie aus. Xiaomi gab bekannt, dass das neue HyperOS 3.1 bereits auf rund 85 Prozent der kompatiblen Geräte installiert wurde.
Neben den mobilen Bedrohungen wurden am heutigen Montag mehrere kritische Sicherheitslücken in Infrastruktur-Software gemeldet:
- OTRS: Eine kritische SQL-Injection-Lücke (CVE-2026-48188) mit einem CVSS-Score von 9.1 ermöglicht unauthentifizierten Zugriff auf Ticket-Systeme.
- Palo Alto Networks: Die CISA warnt vor aktiven Angriffen auf die Schwachstelle CVE-2026-0257 in PAN-OS, die das Umgehen der Authentifizierung im GlobalProtect-Portal erlaubt.
- Linux: Ein 19 Jahre alter Bug namens „CIFSwitch“ (CVE-2026-41089) wurde entdeckt, der Root-Zugriffe über manipulierte Authentifizierungsschlüssel ermöglicht.
- Check Point: Der Hersteller schloss vier Sicherheitslücken in Security Gateways und Firewalls, die unter anderem das Einsehen interner Dateien ermöglichen könnten.
Sicherheitsexperten raten dringend zur zeitnahen Installation aller verfügbaren Updates und zur kritischen Prüfung von App-Berechtigungen – besonders bei den Eingabehilfen.
