000 Dollar – und eine neue Spyware kapert WhatsApp-Konten.**
Sicherheitsexperten schlagen Alarm: Ende April 2026 zeigen aktuelle Vorfälle, dass mobile Finanztransaktionen trotz biometrischer Authentifizierung und Verschlüsselung verwundbar bleiben. Die Angreifer nutzen dabei sowohl technische Exploits als auch psychologische Manipulation.
Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Android-Nutzern, wie sie ihr Gerät mit fünf einfachen Schritten wirksam gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Schwachstelle bei Apple Pay und Visa: Express-Modus wird zur Falle
Ein schwerwiegendes Sicherheitsrisiko betrifft Apple Pay in Kombination mit Visa-Kreditkarten. Der Exploit im sogenannten „Express-ÖPNV-Modus“ erlaubt Angreifern, Beträge von bis zu 10.000 Dollar von gesperrten iPhones abzubuchen.
Die Funktion ist eigentlich dafür gedacht, Fahrgästen das Passieren von Drehkreuzen zu erleichtern – ohne FaceID, TouchID oder Passcode. Doch technische Analysen zeigen: Angreifer simulieren mit modifizierten NFC-Lesegeräten ein ÖPNV-Terminal. Das Visa-Protokoll verzichtet in diesem Modus unter bestimmten Bedingungen auf zusätzliche Authentifizierung.
Der „Man-in-the-Middle“-Angriff erfordert zwar physische Nähe zum Opfer. Interessanterweise sind andere Anbieter wie Mastercard oder American Express nicht betroffen – deren Protokolle verlangen eine digitale Signatur.
Die Lücke ist seit längerem bekannt, eine finale Schließung blieb bisher aus. Betroffene sollten den Express-ÖPNV-Modus in den Wallet-Einstellungen deaktivieren oder auf alternative Karten ausweichen. Bei unberechtigten Abbuchungen greifen in der Regel die Haftungsrichtlinien der Kartenherausgeber.
Morpheus-Spyware: Wenn gefälschte Updates WhatsApp kapern
Parallel zu den Bezahlsystem-Risiken breitet sich die Schadsoftware „Morpheus“ aus. Die Spyware zielt auf Android-Nutzer ab und kombiniert gefälschte System-Updates mit Störungen im Telekommunikationsnetz.
Der Infektionsweg beginnt mit einer SMS, die zur Installation einer APK-Datei auffordert – angeblich zur Behebung von Netzwerkproblemen. Einmal installiert, verschafft sich Morpheus weitreichende Berechtigungen über die Barrierefreiheitsdienste des Betriebssystems. Die Software kann die biometrische Sperre von WhatsApp vortäuschen und auf Chats zugreifen.
Italienische Code-Fragmente deuten laut Analysten auf eine mögliche Verbindung zu spezialisierten Überwachungsfirmen hin. Der Fall unterstreicht die Gefahr von Sideloading – der Installation von Apps aus nicht verifizierten Quellen.
Signal unter Druck: Supply-Chain-Angriff trifft Beamte
Auch der als besonders sicher geltende Messenger Signal steht im Visier. Deutsche Behörden bestätigten am 25. April 2026, dass hochrangige Beamte im Bundestag und Kanzleramt Ziel von Spionageversuchen wurden.
Die Angreifer nutzten keinen direkten Angriff auf die Signal-Infrastruktur. Stattdessen setzten sie auf einen Supply-Chain-Angriff auf modifizierte Android-Versionen der App. Über eine kompromittierte Analytics-Bibliothek in diesen inoffiziellen Versionen konnten 72 Stunden lang Daten abgegriffen werden. Die offiziellen Versionen von Signal.org waren nicht betroffen.
Social Engineering: Der Mensch bleibt die größte Schwachstelle
Ein aktueller Fall zeigt die Wirksamkeit von Social-Engineering-Taktiken. Eine Bankkundin verlor 9.000 Dollar, nachdem Betrüger unter dem Deckmantel offizieller Sicherheitsmitteilungen agierten und gefälschte Fallnummern verwendeten.
Experten betonen: Jeder Nutzer kann unabhängig vom technischen Vorwissen Opfer solcher Maschen werden. Die Betrüger nutzen die Geschwindigkeit moderner Zahlungssysteme – Transaktionen sind oft innerhalb von Sekunden unwiderruflich. Bei unerwarteten Anrufen der Hausbank gilt: misstrauisch bleiben und über offizielle Kanäle selbst Kontakt aufnehmen.
Aktuelle Sicherheitsupdates: Samsung und Apple patchen
Samsung startete im April 2026 einen umfassenden Sicherheitspatch für Modelle wie Galaxy A37, A56, XCover 6 Pro und XCover 7. Das Update behebt 47 dokumentierte Sicherheitslücken. Nutzer der Flaggschiff-Modelle Galaxy S24 und S25 berichten jedoch vereinzelt über Akkuprobleme nach der Installation.
Apple reagierte am 22. April 2026 mit iOS 26.4.2 und iPadOS 26.4.2 auf eine kritische Schwachstelle im Notification Services Framework (CVE-2026-28950). Gelöschte Nachrichtenvorschauen – etwa von Signal – konnten im System-Cache verbleiben. Bereits am 8. April aktivierte Apple zudem automatisch den „Schutz für gestohlene Geräte“.
Passkeys als Zukunft: Das Ende der Passwörter?
Das britische National Cyber Security Centre empfiehlt seit April 2026 verstärkt den Einsatz von Passkeys. Sie sollen klassische Passwörter als Standard-Authentifizierungsmethode ablösen, da sie resistenter gegen Phishing sind. Wo Passkeys noch nicht verfügbar sind, raten Experten zur Multi-Faktor-Authentifizierung und Passwort-Managern.
Angesichts von Millionen gehackter Konten pro Quartal wird der Schutz der eigenen Online-Identität immer wichtiger. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, Microsoft oder WhatsApp ohne Passwort-Stress absichern. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Marktentwicklung: Privatsphäre wird zum Wettbewerbsfaktor
Die Sicherheitslage zeigt eine Verschiebung der Angriffsvektoren. Während die Kernverschlüsselung moderner Dienste stabil bleibt, konzentrieren sich Angreifer auf die Schnittstellen zwischen Hardware, Betriebssystem und Nutzer. Das FBI nutzte Berichten zufolge den Notification-Fehler bei Apple für strafrechtliche Untersuchungen – das Spannungsfeld zwischen staatlichem Zugriff und Privatsphäre wird deutlich.
Gleichzeitig verändern Plattformen ihre Geschäftsmodelle. Meta kündigte an, die Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten ab Mai 2026 einzustellen. WhatsApp experimentiert mit einem kostenpflichtigen Abonnementmodell „WhatsApp Plus“ für 2,49 Euro pro Monat mit erweiterten Funktionen.
Was bleibt zu tun?
Die Deaktivierung potenziell unsicherer Komfortfunktionen wie des Express-ÖPNV-Modus bei Visa-Karten bleibt eine der effektivsten manuellen Schutzmaßnahmen. Die Branche steht vor der Herausforderung, die Balance zwischen Benutzerfreundlichkeit und Sicherheit neu zu justieren. Für Nutzer gilt: Wachsam bleiben, Updates installieren und bei ungewöhnlichen Nachrichten oder Anrufen skeptisch sein.
