Branchenanalysten erwarten für 2026 einen globalen Schaden durch mobile Cyberkriminalität von rund 442 Milliarden Euro. Haupttreiber ist der massive Einsatz von Künstlicher Intelligenz.
Bereits 86 Prozent aller Phishing-Kampagnen laufen KI-gesteuert. Täglich verschicken Angreifer rund 3,4 Milliarden schädliche Nachrichten. Die Professionalisierung der Kriminellen macht ihnen dabei zu schaffen: Sie nutzen gezielt Schwachstellen in mobilen Betriebssystemen und das Vertrauen der Nutzer in bekannte Plattformen aus.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 Schutzmaßnahmen jetzt entdecken
Smishing und Quishing: Die neuen Lieblingsmethoden der Betrüger
Besonders drastisch ist die Entwicklung beim sogenannten Smishing – Phishing über SMS. In vier Jahren stieg das Volumen dieser Angriffe um 300 Prozent. Die Klickrate liegt neunmal höher als bei klassischen E-Mail-Phishing-Kampagnen.
Auch QR-Codes werden zur Gefahr. Beim „Quishing“ verzeichnen Sicherheitsforscher einen Anstieg um 150 Prozent auf 18 Millionen dokumentierte Fälle.
Ein aktuelles Beispiel liefert eine großangelegte Kampagne in Indien. Ende Mai 2025 nutzten Betrüger die Popularität einer satirischen Bewegung namens „Cockroach Janta Party“ (CJP). Über WhatsApp und Telegram lockten sie Nutzer zur Installation manipulierter APK-Dateien. Die Malware stahl Einmalpasswörter, SMS, Kontakte und Bankdaten. Die Polizei in Ludhiana warnte: „Es handelt sich nicht um einen Scherz, sondern um eine ernsthafte Verschwörung zum Finanzbetrug.“ In den letzten fünf Jahren registrierten indische Behörden over 6,5 Millionen Beschwerden zu Cyberbetrug.
Trojaner im App Store: 24 Millionen Downloads für Schadsoftware
Trotz verschärfter Kontrollen der Plattformbetreiber schaffen es weiterhin bösartige Apps in offizielle Stores. Im Mai 2025 deckten Sicherheitsforscher von Human Security die „Trapdoor“-Kampagne auf. Sie identifizierten 455 getarnte Android-Apps – darunter scheinbar harmlose PDF-Reader. Die Apps wurden über 24 Millionen Mal aus dem Google Play Store heruntergeladen.
Die Schadsoftware installierte im Hintergrund heimlich eine zweite App. Diese generierte unsichtbare Werbung und erreichte Spitzenwerte von 480 Millionen Werbeauktionen pro Tag. Google hat die betroffenen Apps inzwischen entfernt.
Auch modifizierte Messenger-Apps sind riskant. Eine Version von Telegram aus dem Drittanbieter-Store APKPure enthielt manipulierten Code. Sie übermittelte Telefonnummern, Profile und Dokumente an externe Server in Hongkong. Gängige Sicherheitslösungen erkannten die Bedrohung zunächst nicht.
Der Banking-Trojaner „Mamont“ bleibt die größte Gefahr für Android-Nutzer. Er verursacht mehr als 70 Prozent aller Angriffe in diesem Segment. Insgesamt stiegen die Infektionen mit Banking-Trojanern im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen Fälle.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre Banking-Daten abgesehen haben. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken schließen und sich effektiv vor Malware schützen. Android-Sicherheits-Guide gratis herunterladen
Apple und Google rüsten auf – doch Hardware-Lücken bleiben
Die Industrie reagiert mit verschärften Sicherheitsarchitekturen. Apple schloss mit iOS 26.5 insgesamt 52 Sicherheitslücken und führte die Post-Quanten-Kryptografie PQ3 für TLS-, VPN- und SSH-Verbindungen ein. Ein automatischer Diebstahlschutz wurde aktiviert.
Google integrierte in die Beta-Version von Android 17 eine Diebstahlerkennungssperre. Microsoft stellte die klassische Zwei-Faktor-Authentifizierung per SMS ein und setzt auf biometrische Passkeys – fünf Milliarden sind bereits aktiv.
Doch es gibt Risiken, die sich nicht einfach beheben lassen. Eine Schwachstelle in der BootROM von Qualcomm-Chipsätzen (CVE-2026-25262) gilt als nicht patchbar. Das bedeutet langfristige Sicherheitsrisiken für betroffene Geräte.
Auf politischer Ebene verabschiedete Deutschland am 21. Mai 2026 das Digital-Identitäts-Gesetz. Es soll einen sichereren Rahmen für digitale Identitäten schaffen. In den USA sorgt ein juristischer Vergleich für Aufsehen: Google zahlt 135 Millionen US-Dollar, nachdem Vorwürfe laut wurden, Android-Geräte hätten heimlich Nutzerdaten über Mobilfunkverbindungen übermittelt.
Interpol-Operation: 3.000 Festnahmen und 752 Millionen US-Dollar eingefroren
Die Strafverfolgungsbehörden intensivieren ihre Bemühungen gegen die global vernetzte Cyberkriminalität. Im Rahmen der Interpol-Operation „FRONTIER+ III“ gelangen weltweit mehr als 3.000 Festnahmen. Die Beamten froren über 752 Millionen US-Dollar an kriminellen Geldern ein.
In Thailand zerschlug die Cyberpolizei Ende Mai ein Syndikat, das pensionierte Beamte mit gefälschten Banking-Apps um Millionenbeträge betrogen hatte. Die Behörden nahmen vietnamesische Staatsbürger und thailändische Komplizen fest, die sogenannte „Mule“-Konten für die Geldwäsche bereitgestellt hatten.
Besonders perfide ist die Methode des „Digital Arrest“. In Nagpur verlor eine pensionierte Krankenschwester über 90 Lakh Rupien. Betrüger hatten sie in einer wochenlangen Inszenierung per Videoanruf glauben gemacht, sie stehe unter polizeilicher Aufsicht. Behörden betonen: Legitime Strafverfolger führen niemals digitale Verhaftungen durch oder fordern Geldtransfers zur Verifizierung.
Deepfake-Technologie erreicht eine neue Stufe. In Indien warnte ein Fact-Check-Dienst vor manipulierten Videos, in denen Regierungsmitglieder angeblich lukrative Anlageschemata bewerben. Indische Nutzer sehen durchschnittlich vier Deepfake-Videos pro Tag.
Der Faktor Mensch bleibt die größte Schwachstelle
Die aktuelle Datenlage zeigt einen klaren Trend: Angreifer verlagern ihren Fokus von technischen Exploits hin zum Social Engineering, das durch KI massiv skaliert wird. Während technische Schwachstellen oft zeitnah durch Updates geschlossen werden, bleibt der Mensch die verwundbarste Stelle.
77 Prozent der finanziellen Verluste bei Cyberbetrug entfallen auf Investitionsbetrug. Das unterstreicht die Effektivität psychologischer Manipulation. Gleichzeitig zeigt die „Trapdoor“-Kampagne, dass selbst die Kontrollmechanismen großer Plattformen wie des Play Stores an ihre Grenzen stoßen.
Was kommt als Nächstes?
Die kommenden Monate bringen eine weitere Aufrüstung im Bereich der mobilen Sicherheit. Anfang Juni 2026 beginnt die Entwicklerkonferenz WWDC. Apple wird voraussichtlich neue Funktionen mit Fokus auf lokale KI vorstellen, um Bedrohungen direkt auf dem Gerät zu analysieren.
Auch Android 17 wird weitere Schutzmechanismen etablieren. Doch der Wettlauf zwischen Sicherheitsexperten und Kriminellen bleibt dynamisch. Die Zahl der Schadsoftware-Varianten stieg zuletzt um 271 Prozent auf rund 255.000.
Experten setzen auf die flächendeckende Einführung biometrischer Verfahren und post-quantensicherer Verschlüsselung. Nur so lässt sich die Integrität mobiler Kommunikation langfristig gewährleisten.
