Während klassische Phishing-Mails weiter kursieren, setzen Kriminelle zunehmend auf SMS-Blaster und spezialisierte Banking-Trojaner wie TCLBanker. Die Bilanz des Jahres 2025 spricht Bände: weltweit 15,9 Milliarden US-Dollar Schaden durch mobilen Betrug – ein Plus von 27 Prozent.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
SMS-Blaster: Wenn der Funkmast zum Trojaner wird
Im Zentrum der neuen Betrugswelle stehen IMSI-Catcher, sogenannte SMS-Blaster. Diese Geräte imitieren echte Mobilfunkmasten und zwingen Smartphones im Umkreis von bis zu 2.000 Metern, sich mit dem gefälschten Netzwerk zu verbinden. Die Täter nutzen gezielt Schwachstellen des veralteten 2G-Standards aus. Die betrügerischen Nachrichten umgehen so die Sicherheitsfilter der Provider.
Der Polizei in Toronto gelang unter dem Codenamen Project Lighthouse die Zerschlagung eines solchen Netzwerks. Drei Verdächtige stehen im Verdacht, zehntausende Geräte manipuliert und über 13 Millionen Netzwerkstörungen verursacht zu haben. Die Anklage umfasst 44 Punkte, darunter Betrug und Identitätsdiebstahl.
Auch in Europa schlagen die Behörden zu. Ein Gericht in Paris verurteilte im März 2026 sieben Personen – sie hatten betrügerische Nachrichten an rund 3,7 Millionen Mobiltelefone versendet. Die als Operation Road Trap bekannte Kampagne zeigt die perfide Methode: Nutzer erhalten täuschend echte SMS über angeblich unbeglichene Park- oder Mautgebühren.
Das Ziel ist oft ein Double Phishing: Zunächst werden über gefälschte Webseiten Kreditkartendaten abgegriffen. Anschließend ruft ein vermeintlicher Bankmitarbeiter an, um die Opfer zur Freigabe von Transaktionen zu bewegen. Weltweit identifizierten Experten über 79.000 solcher Nachrichten aus rund 40 verschiedenen Teilkampagnen.
TCLBanker und CloudZ RAT: Trojaner auf dem Vormarsch
Parallel zum hardwarebasierten SMS-Betrug verbreiten sich hochkomplexe Schadprogramme über Messenger wie WhatsApp. Der Banking-Trojaner TCLBanker (Kennung REF3076) zielt auf 59 Finanz-Apps ab, darunter Fintech-Dienstleister und Krypto-Plattformen. Die Malware nutzt die Android Accessibility Services für sogenannte Overlay-Angriffe: Eine gefälschte Anmeldemaske legt sich über die echte App und fängt Zwei-Faktor-Authentifizierungs-Codes (2FA) ab.
Die Verbreitung von TCLBanker erfolgt getarnt als Sicherheits-Update oder KI-Software, etwa als Logi AI Prompt Builder. Besonders kritisch: Die autonome Komponente SORVEPOTEL befähigt den Trojaner, sich über die Kontaktlisten infizierter WhatsApp-Web-Sitzungen selbstständig weiterzuverbreiten.
Eine weitere Flanke öffnet die Malware CloudZ RAT. Seit Jahresbeginn beobachten Forscher Kampagnen, die gezielt die Windows-Anwendung Microsoft Phone Link missbrauchen. Das Plugin Pheno scannt nach aktiven Sitzungen zwischen PCs und Smartphones. Ist eine Verbindung hergestellt, greift die Malware auf lokale SQLite-Datenbanken zu und liest SMS-Inhalte sowie Einmalpasswörter (OTPs) aus. Das Tückische: Das Mobiltelefon selbst muss nicht infiziert sein – der Zugriff erfolgt indirekt über den gekoppelten Windows-Rechner.
Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle. Dieser kostenlose Report zeigt, wie Sie sich schützen. 5 einfache Schritte zur Smartphone-Sicherheit jetzt herunterladen
Quishing und KI-Stimmen: Die wirtschaftliche Dimension
Die Professionalisierung der Angriffe zeigt sich in den Schadensstatistiken. Branchenschätzungen zufolge könnte die mobile Cyberkriminalität 2026 einen weltweiten Gesamtschaden von rund 21 Milliarden US-Dollar verursachen. Ein besonderer Treiber ist Quishing – Phishing per QR-Code. Allein im ersten Quartal 2026 stieg die Zahl solcher Vorfälle um 146 Prozent auf 18,7 Millionen registrierte Fälle.
Auch KI-gestützte Betrugsanrufe erreichen neue Dimensionen. Im Jahr 2025 verursachten Methoden mit Stimmenklonen Schäden von über 3,5 Milliarden US-Dollar. Für ein täuschend echtes Imitat einer menschlichen Stimme genügen den Tätern laut Experten bereits drei Sekunden Audiomaterial.
Diese Entwicklung hat juristische Folgen für Finanzinstitute. Das Landgericht Berlin II verurteilte im April 2026 die Apobank zur Zahlung von über 200.000 Euro Schadensersatz an einen Kunden. Die Begründung: Die Bank habe offensichtliche Anzeichen für betrügerische Aktivitäten nicht erkannt. Solche Urteile erhöhen den Druck auf Dienstleister. Der Schweizer SaaS-Anbieter Bexio reagierte auf eine Welle von Phishing-Angriffen, bei denen IBAN-Informationen auf Kundenrechnungen manipuliert wurden, mit einer verpflichtenden Zwei-Faktor-Authentifizierung für alle über 100.000 Kunden.
KI als Waffe: PromptSpy und No-Code-Phishing
Die Integration künstlicher Intelligenz in die Angriffsinfrastruktur markiert einen Wendepunkt. Sicherheitsforscher identifizierten mit PromptSpy die erste Android-Malware, die Googles KI Gemini zur Steuerung von Bildschirmaufzeichnungen nutzt. Diese Automatisierung erlaubt Angreifern, sensible Informationen effizienter und in größerem Maßstab zu extrahieren.
Zudem warnen Dienstleister wie Kaspersky vor No-Code-Tools, mit denen Kriminelle ohne tiefgehende Programmierkenntnisse täuschend echte Phishing-Web-Apps erstellen können. Die Hürden für Cyberkriminalität sinken dramatisch.
Ein weiteres Risiko stellen Sicherheitslücken in Hardware und weit verbreiteten Anwendungen dar. Im Mai 2026 wurden kritische Schwachstellen in WhatsApp (CVE-2026-23866 und CVE-2026-23863) sowie in Snapdragon-Prozessoren (CVE-2026-25262) bekannt. Während für viele Flaggschiff-Modelle zeitnah Patches bereitgestellt wurden, erhalten schätzungsweise 40 Prozent aller aktiven Android-Geräte keine regelmäßigen Sicherheits-Updates mehr. Dies schafft eine dauerhafte Angriffsfläche für Malware-Netzwerke wie CallPhantom, deren bösartige Apps im Play Store bereits über 7,3 Millionen Downloads verzeichneten.
Ausblick: Android 17 und das Ende alter Standards
Die Mobilfunkbranche reagiert mit einer beschleunigten Modernisierung der Infrastruktur. Für Juni 2026 wird die Veröffentlichung von Android 17 erwartet, die voraussichtlich neue Schutzmechanismen gegen die Ausnutzung von Accessibility Services enthalten wird.
Gleichzeitig verschärfen Plattformbetreiber ihre Anforderungen: Ab September 2026 stellt WhatsApp den Support für ältere Betriebssysteme ein, da deren Hardware nicht über die notwendige Beschleunigung für moderne Verschlüsselungsstandards des Signal-Protokolls verfügt.
Langfristig orientieren sich die Sicherheitsstandards an der Bedrohung durch quantencomputer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Umstellung auf Post-Quanten-Kryptografie (PQC) bis zum Ende des Jahrzehnts. Erste Dienste wie Signal, WhatsApp und Google Chrome haben bereits damit begonnen, hybride oder quantenresistente Schlüsselaustauschverfahren zu integrieren.
