Während Apple und Qualcomm mit Patches auf neu entdeckte Schwachstellen reagieren, professionalisieren Kriminelle ihre Angriffsmethoden durch KI und spezialisierte Funkhardware. Die Folge: Wirtschaftliche Schäden durch Smartphone-Betrug erreichten im vergangenen Jahr einen neuen Höchststand.
Kritische Hardware-Lücke in Qualcomm-Chips entdeckt
Sicherheitsforscher von Kaspersky ICS CERT haben eine Schwachstelle im BootROM von Qualcomm-Snapdragon-Prozessoren öffentlich gemacht. Die Lücke mit der Kennung CVE-2026-25262 betrifft die Chip-Serien MDM9x07, MSM8909 und SDX50 – verbaut in Millionen von Mobilgeräten weltweit.
Angreifer mit physischem Zugriff können das Gerät innerhalb weniger Minuten vollständig kompromittieren. Passwörter lassen sich entwenden, Kamera und Mikrofon ferngesteuert auslesen. Qualcomm bestätigte die Lücke bereits im Frühjahr 2025.
Dass Kriminelle heute kaum noch physische Nähe brauchen, um Daten zu stehlen, macht einen wirksamen Schutz des Smartphones unverzichtbar. Experten zeigen in diesem kostenlosen PDF-Ratgeber 5 einfache Schritte auf, mit denen Sie Ihr Gerät in wenigen Minuten gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone gratis sichern
Apple veröffentlichte parallel iOS 26.4.2 am 30. April 2026. Der Patch schließt eine Sicherheitslücke, die es Ermittlungsbehörden wie dem FBI ermöglichte, gelöschte Signal-Nachrichten wiederherzustellen. Ursache war eine fehlerhafte Datenbereinigung im Benachrichtigungssystem. Samsung reagierte ebenfalls Ende April mit einem Update für 14 kritische Schwachstellen.
SMS-Blaster und Ghost Tapping: Physische Angriffe nehmen zu
Die kanadische Polizei konnte im Rahmen des Projekts Lighthouse einen Schlag gegen eine kriminelle Gruppierung landen. Die Täter nutzten in Fahrzeugen montierte SDR-Hardware, um legitime Mobilfunkmasten zu imitieren. Diese mobilen Basisstationen umgingen Sicherheitsfilter der Anbieter und sendeten Phishing-Nachrichten direkt an umliegende Handys.
Allein in der Region Toronto verursachten die Angreifer schätzungsweise 13 Millionen Netzwerkstörungen. Die Ermittlungen begannen im November 2025, die Festnahmen erfolgten im März und April 2026.
In Idaho ermittelt die Polizei gegen ein Netzwerk, das mobile Bezahl-Apps wie Apple Pay und Google Pay mittels elektromagnetischer Signale manipuliert. Die Methode namens Ghost Tapping löst unbefugte Transaktionen an Bezahlterminals aus – ohne physischen Kontakt zum Opfer. Seit Januar 2026 gab es zwölf Festnahmen. Auf sichergestellten Geräten fanden Ermittler Hinweise auf Geldwäsche und illegalen Handel.
KI-gestützte Phishing-Dienste: Betrug als Dienstleistung
Ende April identifizierten Sicherheitsanalysten den Phishing-Dienst Bluekit. Das Kit bietet über 40 Vorlagen für Dienste wie Gmail, Outlook, iCloud und GitHub. Integrierte KI-Assistenten auf Basis von GPT-4.1 und Claude helfen Angreifern, täuschend echte Phishing-E-Mails zu formulieren.
Für rund 2.000 US-Dollar Jahresgebühr erhalten Nutzer Zugriff auf ein Dashboard, das Domain-Käufe, Fake-Websites und Echtzeit-Überwachung automatisiert.
Die Android-Malware KYCShadow verbreitet sich über WhatsApp und tarnt sich als Update für Bank-Identifizierungsverfahren. Einmal installiert, stiehlt die Software PIN-Codes, Kreditkartendaten und fängt SMS mit Einmal-Passwörtern ab.
Selbst legitime PayPal-Benachrichtigungen werden zweckentfremdet: Betrüger manipulieren Betreffzeilen echter System-E-Mails, um Nutzer zu gefälschten Support-Hotlines zu locken. Da die Mails von legitimen Servern stammen, erkennen Spam-Filter sie nicht.
Regulierungsbehörden verschärfen Maßnahmen
Die FCC verschärfte am 30. April 2026 die Know-Your-Customer-Regeln für Telekommunikationsanbieter. Ziel: Robocalls erschweren und den Einfluss ausländischer Akteure aus sanktionierten Staaten begrenzen. Über 15 US-Bundesstaaten verlangen inzwischen detaillierte Risikobewertungen für Unternehmen mit Hochrisiko-Datenverarbeitung.
In Utah tritt Anfang Mai ein Gesetz in Kraft, das die Nutzung von VPN-Diensten zur Umgehung von Altersverifikationen reguliert – ein Wendepunkt in der rechtlichen Bewertung von Anonymisierungswerkzeugen.
Die wirtschaftliche Dimension ist enorm: Laut FBI und FTC verloren US-Verbraucher 2025 fast 21 Milliarden US-Dollar durch Betrug – ein Anstieg von über 26 Prozent. Besonders hohe Verluste verzeichneten Anlagebetrug, Voice-Cloning und Deepfakes. Der Markt für mobile Datenschutzlösungen soll von 11 Milliarden US-Dollar (2025) auf bis zu 30 Milliarden US-Dollar (2031) wachsen.
Ausblick: Passkeys und KI-Abwehr
OpenAI kündigte Ende April erweiterte Sicherheitsfunktionen für ChatGPT an: Physische Sicherheitsschlüssel oder Passkeys schützen den Kontozugriff. Sicherheitsunternehmen wie Gen (Norton, Avast) bringen Lösungen gegen schädliche KI-Befehle und Prompt-Injection-Angriffe.
Die Abkehr von klassischen Passwörtern gilt als einer der wichtigsten Schritte für mehr digitale Sicherheit im Internet. Wie die Technologie hinter Passkeys genau funktioniert und wie Sie sich damit bei Diensten wie WhatsApp oder Amazon ohne Passwort-Stress anmelden, erfahren Sie in diesem kostenlosen Ratgeber. Sicher und passwortlos: Jetzt Passkey-Report kostenlos lesen
In Kalifornien können Bürger seit Ende April staatliche Ausweisdokumente direkt im Samsung Wallet speichern – für sicherere Identitätsprüfungen an Flughäfen und in Unternehmen.
Die Zukunft der Smartphone-Sicherheit liegt in der Verzahnung von Hardware-basierten Sicherheitsankern und proaktiver KI-Überwachung. Doch die wichtigste Verteidigungslinie bleibt die Wachsamkeit der Nutzer gegenüber Social-Engineering-Taktiken.
