Der weltweite Schaden durch mobile Cyberkriminalität erreicht 2026 geschätzt 21 Milliarden US-Dollar – ein Anstieg von fast einem Drittel gegenüber dem Vorjahr (15,9 Milliarden Dollar). Angreifer setzen zunehmend auf KI-gestützte Malware und gefälschte Mobilfunkzellen. Das BSI warnt: Die Sensibilität der Nutzer hält mit der Gefahr nicht Schritt.
WhatsApp unter Beschuss: Zwei kritische Lücken entdeckt
Im Messenger-Dienst WhatsApp klafften in den letzten Wochen gleich zwei Sicherheitslücken. Die Schwachstelle CVE-2026-23866 erlaubt Angreifern, über manipulierte KI-Nachrichten Schadcode nachzuladen. Betroffen sind iOS-Versionen vor 25.15.70 und Android-Versionen vor 2.26.15.69. Die zweite Lücke CVE-2026-23863 betrifft die Windows-Desktop-Version und nutzt Fehler bei der Dateinamen-Verarbeitung. Meta hat Updates bereitgestellt – Experten raten zur sofortigen Installation.
Angesichts der zunehmenden Sicherheitslücken in Messenger-Diensten und Apps ist ein umfassender Schutz Ihrer mobilen Daten wichtiger denn je. Dieser kostenlose Ratgeber enthüllt, wie Kriminelle Ihr Smartphone gezielt ausspähen und mit welchen einfachen Schritten Sie sich wirksam schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Ab dem 8. September 2026 stellt WhatsApp den Betrieb auf Geräten mit Android 5.0 und iOS 13 ein. Grund: Fehlende Hardware-Beschleunigung für moderne Verschlüsselung. Millionen Nutzer müssen dann aufrüsten. Parallel dazu hat Meta die optionale Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten eingestellt – ein Schachzug, der Nutzer zu WhatsApp treiben soll.
Apple schließt „DarkSword“-Lücke – Android-Fragmentierung bleibt Risiko
Apple veröffentlichte iOS 18.7.7 und stopfte damit die als „DarkSword“ bekannte Sicherheitslücke auf älteren iPhones. Heute folgte iOS 26.5 RC2 mit einer Verschlüsselung für den RCS-Standard. Doch das große Problem bleibt die Fragmentierung: Rund 40 Prozent aller aktiven Android-Geräte erhalten keine regelmäßigen Sicherheitsupdates mehr. Sie sind leichte Beute für automatisierte Angriffe.
KI-Malware und Blockchain-Trojaner: Neue Dimension der Bedrohung
Die Schadsoftware wird raffinierter. Mit „PromptSpy“ entdeckten Forscher die erste Android-Malware, die Googles KI-Schnittstelle Gemini missbraucht. Der Banking-Trojaner „TrickMo“ (Trickmo.C) kommuniziert verdeckt über die TON-Blockchain mit seinen Steuerungsservern. Die Malware tarnt sich als Streaming- oder Social-Media-App, zeichnet Tastatureingaben auf, greift Bildschirminhalte ab und fängt SMS für die Zwei-Faktor-Authentifizierung ab. Hauptziele: Banken, Fintechs und Krypto-Wallets in Österreich, Frankreich und Italien.
Der Banking-Trojaner TCLBanker zielt auf über 50 Finanzplattformen und verbreitet sich über WhatsApp und Outlook. Er nutzt Overlay-Angriffe, um Login-Daten zu stehlen. Noch perfider: Die Malware „Keenadu“ wurde von Kaspersky-Forschern in der vorinstallierten Software von über 13.000 neuen Android-Geräten entdeckt – Schwerpunkte in Deutschland, Russland und den Niederlanden. Solche Systeminfektionen sind für Antiviren-Programme kaum erkennbar.
SMS-Blaster und Quishing: Angriffe auf die Infrastruktur
Neben Software-Lücken rücken physische Angriffsmethoden zurück in den Fokus. Sogenannte SMS-Blaster oder IMSI-Catcher nutzen Sicherheitslücken im veralteten 2G-Standard. Sie zwingen Handys in der Umgebung, sich mit einer gefälschten Basisstation zu verbinden. Betrüger versenden dann massenhaft Phishing-SMS – für Mobilfunkbetreiber kaum zu stoppen. Behörden in Toronto und Paris zerschlugen zuletzt solche Netzwerke. In Frankreich wurden Millionen betrügerischer Nachrichten über diese Geräte verschickt.
Explosiv wächst das „Quishing“ – Phishing über manipulierte QR-Codes. Im ersten Quartal 2026 stieg die Zahl der Fälle um 146 Prozent auf rund 18 Millionen weltweit. Angreifer überkleben legitime Codes an Ladesäulen oder in Restaurants mit eigenen, die auf gefälschte Zahlungsseiten führen. Das Landgericht Berlin II verpflichtete eine Bank, einem Kunden über 200.000 Euro Schaden zu ersetzen, der durch einen solchen Angriff entstanden war.
Auch der Google Play Store bleibt ein Einfallstor. Die „CallPhantom“-Kampagne schleuste 28 betrügerische Apps ein, die über 7,3 Millionen Mal heruntergeladen wurden. Sie versprachen Zugriff auf Anrufprotokolle oder WhatsApp-Verläufe, lieferten aber nur Fake-Daten gegen hohe Abo-Gebühren. Google entfernte die Apps nach Hinweisen von ESET.
BSI-Studie: Jeder zehnte Deutsche wurde 2025 Opfer
Der aktuelle Cybersicherheitsmonitor 2026 von BSI und Polizeilicher Kriminalprävention zeigt: Elf Prozent der Internetnutzer wurden 2025 Opfer von Cyberkriminalität – ein Anstieg gegenüber sieben Prozent im Vorjahr. 27 Prozent waren bereits mindestens einmal in ihrem Leben betroffen. Die häufigsten Delikte: Betrug beim Online-Shopping (22 Prozent), Fremzugriffe auf Konten (14 Prozent) und Onlinebanking-Betrug (13 Prozent).
Doch die Wahrnehmung klafft auseinander: 55 Prozent der Nutzer schätzen ihr eigenes Risiko als eher gering ein. Nur 14 Prozent informieren sich regelmäßig über Sicherheitsfragen. Dabei erlitten 88 Prozent der Betroffenen einen tatsächlichen Schaden, jeder Dritte finanzielle Verluste. BSI-Präsidentin Claudia Plattner fordert: Sicherheit muss bereits bei der Produktentwicklung als Standard verankert werden – Security by Design.
Da besonders veraltete Betriebssysteme ein massives Einfallstor für Hacker und Schadsoftware darstellen, ist regelmäßiges Handeln gefragt. Erfahren Sie in diesem kostenlosen Experten-Report, wie automatische Updates Ihr Gerät rund um die Uhr schützen und Sicherheitslücken zuverlässig schließen. Kostenlosen Android-Sicherheitsratgeber jetzt anfordern
Ausblick: Android 17 und iOS 27 im Juni
Für die kommenden Monate erwarten Experten eine weitere Intensivierung der Angriffe. Im Juni 2026 erscheinen Android 17 und auf der WWDC Details zu iOS 27. Beide sollen neue Sicherheitsmechanismen gegen Zero-Click-Exploits wie CVE-2026-0073 einführen, die Fernzugriff ohne Nutzerinteraktion ermöglichen.
Konkrete Schutzmaßnahmen: Updates sofort installieren, Zwei-Faktor-Authentifizierung aktivieren, Passkeys nutzen und skeptisch gegenüber unaufgeforderten Nachrichten sein – egal ob per SMS, E-Mail oder Messenger. Besondere Vorsicht bei QR-Codes und App-Downloads aus inoffiziellen Quellen. KI-gestütztes Stimmenkloning verursachte bereits Milliardenschäden: Die Verifizierung von Kommunikationspartnern über alternative Kanäle ist längst unerlässlich.
