Schätzungen zufolge beläuft sich der globale Gesamtschaden durch Angriffe auf mobile Endgeräte bereits auf rund 442 Milliarden Euro. Besonders besorgniserregend: Kriminelle setzen zunehmend auf künstliche Intelligenz und spezialisierte Schadsoftware.
Banking-Trojaner und KI-gesteuertes Phishing dominieren das Geschehen. Die klassischen Betrugsmaschen verschwinden zwar nicht, aber die technologische Evolution der Angreifer macht das Smartphone zur permanenten Zielscheibe.
Angesichts der rasant steigenden Schäden durch mobile Cyberkriminalität ist ein Basisschutz für Ihr Gerät unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort effektiv gegen Hacker absichern. So sichern Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker ab – kostenlos
Banking-Trojaner auf dem Vormarsch
Die Zahlen sind alarmierend: Im ersten Quartal 2026 stiegen die Angriffe durch Banking-Trojaner um 196 Prozent auf 1,24 Millionen Fälle. Besonders das Android-Ökosystem leidet unter der Entwicklung. Bereits 2025 nahmen Angriffe durch Android-Banking-Trojaner um 56 Prozent zu, während die Zahl neuer Malware-Varianten um 271 Prozent auf über 255.000 anwuchs.
Der Trojaner Mamont führt das Feld mit einem Marktanteil von 73,5 Prozent an. Parallel dazu verbreitet sich die Operation „Trapdoor“: 455 infizierte Android-Apps – darunter vermeintlich nützliche Werkzeuge wie PDF-Viewer und Dateimanager – gelangten über offizielle Kanäle auf die Geräte der Nutzer. Die Apps verzeichneten rund 24 Millionen Downloads und generierten in der Spitze bis zu 659 Millionen manipulierte Gebotsanfragen pro Tag für Werbebetrug.
KI macht Phishing gefährlicher
Die Professionalisierung der Angreifer zeigt sich auch beim Einsatz künstlicher Intelligenz. Rund 86 Prozent aller Phishing-Kampagnen sind mittlerweile KI-gesteuert. Täglich werden global etwa 3,4 Milliarden Phishing-Mails versendet.
Kriminelle nutzen auch die Expansion neuer Bezahlsysteme wie „Wero“ aus. Im Zusammenhang mit dem Übergang vom iDEAL-System zu Wero in den Niederlanden beobachteten Sicherheitsforscher bereits Phishing-Wellen mit KI-generierten Deepfakes. Ziel ist es, Nutzer zur Preisgabe ihrer Zugangsdaten zu bewegen.
Quishing: Die Gefahr aus dem QR-Code
Neben rein digitalen Angriffen rücken physische Schnittstellen in den Fokus. Das Phänomen „Quishing“ – eine Kombination aus QR-Code und Phishing – verzeichnete einen Zuwachs von 150 Prozent auf weltweit 18 Millionen Fälle.
Betrüger platzieren manipulierte QR-Codes im öffentlichen Raum: an Parkautomaten, Ladesäulen für Elektroautos, auf Strafzetteln oder Speisekarten in Restaurants. Die Codes führen die Opfer auf gefälschte Websites, die Zahlungsdaten abgreifen oder Schadsoftware installieren. Die Methode verbreitet sich rasant über ganz Europa, mit Schwerpunkten in Belgien, Frankreich, Italien und den Niederlanden.
NFC-Malware bedroht kontaktloses Bezahlen
Auch die Nahfeldkommunikation (NFC) gerät ins Visier der Angreifer. Neu entdeckte Malware-Stämme wie „DevilNFC“ und „NFCMultiPay“ bedrohen Nutzer in Europa und Lateinamerika. Die Schadsoftware kombiniert NFC-Relay-Angriffe mit einem Kiosk-Modus, um Kreditkarten-PINs auszulesen oder unbefugte Transaktionen zu initiieren.
Spezialisierte Plattformen auf Telegram bieten diese Angriffsmethoden als „Phishing-as-a-Service“ an. Das ermöglicht auch technisch weniger versierten Kriminellen, komplexe Attacken durchzuführen.
Industrie reagiert: Microsoft kippt SMS-2FA
Die IT-Industrie reagiert auf die eskalierende Sicherheitslage mit tiefgreifenden Änderungen. Microsoft stellte die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) ein. Der Grund: Die Übermittlung von Sicherheitscodes per SMS gilt als zu unsicher. Methoden wie SIM-Swapping oder das Abfangen durch mobile Basisstationen (SMS-Blaster) machen die Technik angreifbar.
Erst Mitte Mai 2026 meldeten Behörden in Wien die Festnahme eines Verdächtigen, der einen SMS-Blaster betrieb. Das Gerät konnte bis zu 100.000 Nachrichten pro Stunde an hochfrequentierten Orten wie Bahnhöfen versenden.
Da herkömmliche Passwörter und SMS-Verfahren immer unsicherer werden, empfehlen IT-Experten den Umstieg auf modernere Technologien. Erfahren Sie in diesem Gratis-Report, wie Sie die sichere Alternative der Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll?
Anstelle der SMS setzen Technologieunternehmen verstärkt auf Passkeys und biometrische Verfahren. Apple schloss mit iOS 26.5 im Mai 2026 insgesamt 52 Sicherheitslücken, darunter kritische Schwachstellen (CVE-2026-28950). Auch Microsoft musste kurzfristig Lücken im Microsoft Authenticator (CVE-2026-41615) und im Windows Defender (CVE-2026-41091, CVE-2026-45498) schließen. Die US-Sicherheitsbehörde CISA setzte für die Installation dieser Patches verbindliche Fristen bis Anfang Juni.
Technische Schwachstellen überholen Passwortdiebstahl
Der aktuelle Verizon Data Breach Investigations Report (DBIR) 2026 dokumentiert eine Verschiebung der Angriffsvektoren: Erstmals haben technische Schwachstellen mit 31 Prozent den klassischen Diebstahl von Zugangsdaten (13 Prozent) als Hauptursache für Sicherheitsverletzungen überholt.
Die Botschaft an Unternehmen ist klar: Patch-Management-Prozesse müssen schneller werden. Über reine Passwortsicherheit hinauszugehen, ist keine Option mehr, sondern Pflicht.
Die rechtliche Grauzone
Cyberkriminalität stellt auch das Rechtssystem vor Herausforderungen. Eine juristische Einordnung der Ruhr-Universität Bochum zeigt: Der klassische Diebstahlstatbestand greift bei digitalem Datenklau oft nicht, da Daten im rechtlichen Sinne keine körperlichen Gegenstände sind.
Stattdessen werden solche Taten unter Tatbeständen wie der Vorbereitung von Straftaten (§ 202c StGB) oder dem Computerbetrug (§ 263a StGB) verfolgt. Für Verbraucher gibt es eine gute Nachricht: Banken haften gemäß der EU-Zahlungsdiensterichtlinie bei unberechtigten Kontoplünderungen grundsätzlich – sofern dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann.
So schützt du dich
Experten empfehlen eine Kombination aus technischen Maßnahmen und gesteigerter Wachsamkeit:
- Verzichte auf SMS-TANs und nutze Authentifizierungs-Apps oder Hardware-Sicherheitsschlüssel
- Prüfe QR-Codes kritisch vor dem Scannen, besonders im öffentlichen Raum
- Verwende Passwortmanager und aktiviere biometrische Sperren (FaceID, Fingerabdruck)
- Aktualisiere regelmäßig dein Betriebssystem (aktuell iOS 26.5 oder die kommenden Android 17-Sicherheitsfunktionen)
- Sei misstrauisch gegenüber unaufgeforderten Zahlungsaufforderungen – auch wenn sie wie offizielle Benachrichtigungen von PayPal, der Deutschen Bahn oder Bankinstituten wirken
Ausblick: Was kommt auf uns zu?
Die Sicherheitslandschaft für Smartphones wird sich weiter dynamisch entwickeln. Google plant für Android 17 eine automatisierte Erkennung von Betrugsanrufen, um Nutzer in Echtzeit vor Social-Engineering-Versuchen zu warnen.
Die European Payments Initiative (EPI) treibt die Expansion des Bezahlsystems Wero voran – weitere Phishing-Wellen sind absehbar.
Die zunehmende Verschmelzung von physischer Welt und digitalen Schnittstellen macht das Smartphone zur permanenten Zielscheibe. Technologische Lösungen wie Passkeys und KI-basierte Bedrohungserkennung bilden wichtige Schutzwälle. Doch Sicherheitsexperten betonen: Die Sensibilisierung der Nutzer bleibt der entscheidende Faktor. In einer Ära, in der Schwachstellen schneller ausgenutzt werden als je zuvor, entscheidet die Geschwindigkeit der Reaktion über das Ausmaß der Schäden.
