Kriminelle kombinieren Hardware-Angriffe auf Mobilfunknetze mit automatisierter Software – die Sicherheitsbranche schlägt Alarm.
Während kanadische Ermittler ein Netzwerk von SMS-Blastern zerschlagen haben, warnen Sicherheitsforscher vor einer globalen Kampagne, die CAPTCHAs für Betrug missbraucht. Die Angreifer setzen zunehmend auf „Phishing-as-a-Service“ und Hardware-Exploits.
Angesichts der zunehmenden Hardware-Exploits und manipulierten Funknetze ist ein proaktiver Schutz Ihres Mobilgeräts unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort gegen Hacker absichern. 5 Schutzmaßnahmen jetzt entdecken
IMSI-Catcher im Kofferraum: Wie Täter das Mobilfunknetz kapern
Die kanadische Polizei hat unter dem Codenamen „Projekt Lighthouse“ drei Männer festgenommen. Sie sollen zehntausende Nutzer mit manipulierten Funkfrequenzen geschädigt haben.
Die Täter installierten IMSI-Catcher in Fahrzeug-Kofferräumen. Diese Geräte imitieren legitime Mobilfunkmasten und zwingen Handys in einem Umkreis von 500 Metern bis zwei Kilometern zur Verbindung mit einem manipulierten 2G-Netz. Über diesen Kanal verschickten sie massenhaft Phishing-SMS, die als offizielle Nachrichten von Banken erschienen.
Die Bilanz: Über 13 Millionen Netzwerkstörungen wurden registriert. Experten raten, 2G in den Geräteeinstellungen zu deaktivieren – moderne Standards wie 5G sind deutlich widerstandsfähiger.
Gefälschte CAPTCHAs: Der „ClickFix“-Trick
Parallel dazu entdecken Sicherheitsforscher von Malwarebytes und Infoblox eine raffinierte Software-Taktik namens „ClickFix“. Auf präparierten Webseiten werden Nutzer mit gefälschten CAPTCHA-Abfragen konfrontiert.
Statt Bilder zu identifizieren, sollen sie eine Tastenkombination drücken – die unbemerkt den Versand internationaler SMS an Premium-Dienste auslöst. Der Betrug verursacht pro Opfer Kosten von durchschnittlich 30 US-Dollar. Die Kampagne nutzt Back-Button-Hijacking, um ein Verlassen der Seiten zu verhindern. Besonders betroffen: Regionen mit hohen SMS-Gebühren wie Aserbaidschan, Myanmar und Ägypten.
Qualcomm-Lücke: Angriff auf die Hardware
Auf der Konferenz Black Hat Asia wurde eine kritische Schwachstelle in Qualcomm-Snapdragon-Chipsätzen (CVE-2026-25262) vorgestellt. Sie betrifft das BootROM zahlreicher MDM- und MSM-Module.
Angreifer mit physischem Zugriff können über das Sahara-Protokoll im Emergency Download Mode innerhalb weniger Minuten tiefgreifende Manipulationen vornehmen. Die Sicherheitslücke war bereits im Vorjahr entdeckt worden.
App-Studie offenbart systematische Versäumnisse
Ein Branchenbericht von Quokka analysierte rund 150.000 Apps und zeigt alarmierende Ergebnisse: 94,3 Prozent der Android-Apps und 61,7 Prozent der iOS-Apps nutzen ungesicherte HTTP-Verbindungen.
Fast die Hälfte aller Android-Anwendungen enthält hartcodierte kryptografische Schlüssel – die Verschlüsselung wird damit wertlos. In über 50 Apps fanden die Forscher direkt zugängliche AWS-Zugangsdaten.
Diese Mängel erleichtern Trojanern wie „Anatsa“ die Arbeit. Die als PDF-Reader getarnte Schadsoftware wurde im Google Play Store entdeckt, verzeichnete über 10.000 Installationen und greift Banking-Informationen ab.
Neue Spyware: „Morpheus“ deaktiviert Antiviren-Programme
Aktuell verbreitet sich eine neue Form von Spyware namens „Morpheus“. Sicherheitsanalysten ordnen sie einer italienischen Firma für Überwachungstechnologie zu.
Morpheus tarnt sich als Update von Internetprovidern und verlangt weitreichende Berechtigungen. Einmal installiert, deaktiviert sie Antiviren-Programme wie Bitdefender oder Avast, friert den Touchscreen ein und kompromittiert WhatsApp. Ähnlich agiert die Malware „KYCShadow“, die in Indien über WhatsApp verbreitet wird und sensible Bankdaten stiehlt.
Netzbetreiber blockieren Millionen betrügerische SMS
Die Mobilfunkbranche reagiert mit verstärkten Filtern. Britische Netzbetreiber blockierten allein im ersten Quartal 2026 rund 166,92 Millionen betrügerische SMS.
Doch Angreifer weichen zunehmend auf verschlüsselte Messenger aus. Signal kündigte Ende April neue Anti-Phishing-Schutzmaßnahmen an – nach koordinierten Angriffen auf europäische Politiker und Journalisten. Die Angreifer hatten den Signal-Support imitiert, um Registrierungscodes und PINs zu stehlen.
Google und Apple ziehen nach
Google hat für Play Protect neue Echtzeit-Prüfmechanismen eingeführt, die besonders bei Sideloads greifen. In Malaysia werden Installationen automatisch blockiert, wenn Apps SMS- oder OTP-Berechtigungen missbrauchen wollen. Ab 2027 sollen nur noch Anwendungen von verifizierten Entwicklern zugelassen werden.
Apple bringt mit iOS 26.5 Mitte Mai 2026 die Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten in die finale Phase. Zudem integriert Apple neue Funktionen zum Sperren und Verstecken sensibler Apps per Face ID – ein Schutz bei physischem Diebstahl.
Die Industrialisierung der Malware
Kriminelle mieten leistungsfähige Remote-Access-Trojaner für monatlich 720 bis 1.420 US-Dollar. Diese Programme überwachen über 400 verschiedene Finanz-Apps weltweit.
Über 34 aktive Malware-Familien operieren gezielt gegen 1.200 Finanzinstitute in 90 Ländern. Analysten beobachten eine Konzentration bösartiger Infrastrukturen in Südostasien, besonders in Kambodscha.
Veraltete Systeme und fehlende Updates machen es Kriminellen leicht, Finanz-Apps und sensible Daten auszuspähen. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie durch regelmäßige Android-Updates Sicherheitslücken schließen und Ihr Gerät zuverlässig schützen. Kostenlosen Sicherheits-Ratgeber herunterladen
Ausblick: KI als neues Sicherheitsrisiko
Mit iOS 27 auf der WWDC im Juni 2026 dürften neue KI-basierte Funktionen Einzug halten. Sie erhöhen den Bedienkomfort, schaffen aber auch neue Angriffsflächen für manipulierte Medieninhalte.
Bereits jetzt enthalten über 53 Prozent aller mobilen Anwendungen KI-Komponenten. Neue Tools wie „Mobile App Risk Intelligence“ (MARI) ermöglichen Unternehmen, Drittanbieter-Apps auf versteckte KI-Komponenten zu untersuchen.
Bis die Schutzmaßnahmen greifen, bleibt nur eines: Sicherheitsupdates sofort installieren und bei unerwarteten Nachrichten über Messenger höchste Vorsicht walten lassen.
