**
Die Sicherheitslage für mobile Anwendungen und Kommunikationsplattformen hat einen kritischen Punkt erreicht. Kriminelle Gruppen und staatlich gesteuerte Akteure setzen nicht mehr nur auf klassische Phishing-Mails, sondern kapern gezielt legitime Ökosysteme. Im Fokus stehen dabei Mini-App-Frameworks auf sozialen Plattformen, Entwickler-Repositories und Server-Verwaltungstools.
FEMITBOT: Android-Malware per Telegram
Cybersicherheitsforscher haben eine großangelegte Betrugs- und Schadsoftware-Operation namens FEMITBOT aufgedeckt. Die Plattform missbraucht die „Mini-App“-Architektur des Messengers Telegram, um Android-Malware zu verbreiten und Kryptowährungsbetrug zu begehen. Die Täter imitieren weltbekannte Marken wie Apple, Coca-Cola, Disney, eBay, IBM und NVIDIA, um Nutzer auf gefälschte Kontostand-Seiten zu locken.
Die am 3. Mai 2026 veröffentlichten Erkenntnisse zeigen: FEMITBOT nutzt eine gemeinsame Backend-Infrastruktur, die konsistente API-Antworten liefert. Neben Finanzbetrug dient die Plattform als Verteiler für schadhafte Android-APKs, die sich als legitime Apps von BBC, CineTV oder Coreweave tarnen. Opfer werden häufig unter Druck gesetzt, Einzahlungen zu tätigen oder infizierte Dateien herunterzuladen.
Da Hacker gezielt Schwachstellen in Android-Anwendungen wie Telegram ausnutzen, wird der Schutz des eigenen Geräts immer wichtiger. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Smartphone effektiv absichern. 5 Schutzmaßnahmen für Android jetzt kostenlos sichern
Parallel dazu hat die Hackergruppe UNC6692 Microsoft-Teams-Nutzer ins Visier genommen. Die im Dezember 2025 gestartete Kampagne beginnt mit einer Email-Bombardierung, gefolgt von Kontaktaufnahme über Teams unter dem Vorwand des technischen Supports. Die Angreifer setzen dabei eine ganze Suite von Schadsoftware ein: die SnowBelt-Browsererweiterung, die SnowBasin-Hintertür und das Tunnelwerkzeug SnowGlaze.
Angriffe auf die Lieferkette
Das Sicherheitsgefüge der mobilen App-Ökosphäre wird durch zunehmende Attacken auf die Software-Lieferkette weiter geschwächt. Ende April 2026 identifizierten Forscher die Kampagne „Mini Shai-Hulud“, die über 1.800 Entwickler-Repositories in den Ökosystemen PyPI, NPM und PHP kompromittierte. Die Attacke wird der Zugangsvermittler-Gruppe TeamPCP zugeschrieben und zielte auf den Diebstahl von Anmeldedaten ab.
Ein weiterer Vorfall traf den Passwortmanager Bitwarden: Am 22. April 2026 wurde ein schädliches Paket im NPM-Register entdeckt, das nur für ein kurzes Zeitfenster aktiv war. Ähnliche Taktiken kamen bei einem Einbruch bei Checkmarx zum Einsatz, bei dem Angreifer nach einem separaten Sicherheitsvorfall Zugriff auf GitHub-Repositories erlangten.
Diese Lieferketten-Störungen bieten Angreifern hochwirksame Einstiegspunkte. Die Kompromittierung eines einzigen Sicherheitsanbieters oder einer weit verbreiteten Bibliothek kann potenziell Zugang zu den Produktionssystemen Tausender Kunden verschaffen. Der Sicherheitsanbieter Trellix bestätigte Anfang Mai 2026 einen unbefugten Zugriff auf seine internen Quellcode-Repositories. Zwar blieben Produktionssysteme und Kundendaten unberührt, doch Experten warnen: Zugang zum Quellcode ermöglicht Angreifern die tiefgehende Analyse auf bisher unbekannte Sicherheitslücken.
Root-Zugriff auf Server: cPanel und Linux-Kernel
Während Bedrohungen auf Anwendungsebene direkte Nutzer angreifen, haben kritische Schwachstellen in Verwaltungs- und Systemsoftware die zugrundeliegende Infrastruktur des mobilen Webs offengelegt. Die US-Behörde CISA hat eine Zero-Day-Lücke in cPanel (CVE-2026-41940) in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Der Fehler, der seit Februar 2026 aktiv ist, ermöglicht unbefugten Root-Zugriff auf Server per CRLF-Injection.
Laut Daten der Shadowserver Foundation wurden bereits mehr als 44.000 IP-Adressen durch diese Schwachstelle kompromittiert. Die „Sorry“-Ransomware-Gruppe nutzt den Fehler massiv aus, um Server-Dateien zu verschlüsseln. Bei schätzungsweise 1,5 Millionen weltweit exponierten cPanel-Instanzen ordneten die US-Behörden allen Regierungsstellen an, die notwendigen Patches bis zum 3. Mai 2026 einzuspielen.
Gleichzeitig ist ein langjähriger Logikfehler im Linux-Kernel namens „Copy Fail“ (CVE-2026-31431) wieder als ernsthafte Bedrohung aufgetaucht. Obwohl der Fehler aus dem Jahr 2017 stammt, wurde er nach Berichten über aktive Ausnutzung kürzlich in den KEV-Katalog aufgenommen. Die Schwachstelle erlaubt einem Angreifer mit erstem Codezugriff, seine Berechtigungen auf Root-Ebene zu erhöhen – mit einem Skript von nur 732 Bytes. Besonders betroffen sind Ubuntu, Red Hat und SUSE sowie Container-Umgebungen wie Docker und Kubernetes.
Neue Abwehrstrategien: Passkeys und EU-Zertifizierung
Als Reaktion auf die sich verschlechternde Sicherheitslage drängen Behörden und Branchenführer auf strukturelle Veränderungen im Identitätsmanagement. Im Vereinigten Königreich fordern Cyberbehörden den sofortigen Umstieg von traditionellen Passwörtern auf Passkeys. Diese biometrischen, gerätegebundenen kryptografischen Anmeldedaten sind phishing-resistent und neutralisieren die Taktiken von Gruppen wie UNC6692.
Da Cyberbehörden den sofortigen Umstieg auf phishing-resistente Anmeldeverfahren fordern, rücken Passkeys zunehmend in den Fokus. Erfahren Sie in diesem Gratis-Report, wie Sie die Technologie bei Amazon, Microsoft oder WhatsApp einrichten und Passwörter endgültig abschaffen. Kostenlosen Passkey-Ratgeber herunterladen
Die Europäische Union hat mit der Verabschiedung ihres ersten Cybersecurity-Zertifizierungsschemas (EUCC) einen Schritt zur Standardisierung von Sicherheitserwartungen unternommen. Das auf internationalen Common Criteria basierende, freiwillige Rahmenwerk soll die Transparenz und Zuverlässigkeit von IKT-Produkten in allen Mitgliedsstaaten erhöhen. Der Europäische Datenschutzbeauftragte (EDPS) plant zudem für Mitte Mai 2026 interaktive Sitzungen zur verantwortungsvollen Nutzung von KI.
Trotz dieser Fortschritte bleiben die rechtlichen und operativen Herausforderungen der Cyberkriminalität erheblich. Deutsche Behörden identifizierten kürzlich einen mutmaßlichen Anführer der REvil-Ransomware-Gruppe, der mit 130 Angriffen auf deutsche Ziele und einem Gesamtschaden von 35 Millionen Euro in Verbindung gebracht wird. Fehlende Auslieferungsabkommen mit bestimmten Ländern erschweren jedoch weiterhin die effektive Strafverfolgung.
Ausblick: KI-gesteuerte Angriffe und zerstörerische Malware
Die Konvergenz von KI-gesteuerten Attacken und zunehmend zerstörerischer Malware deutet auf ein noch volatileres Bedrohungsumfeld in den kommenden Monaten hin. Das US-Finanzministerium warnt, dass Finanzinstitute derzeit ihre Systeme gegen KI-generierte Angriffe auf Verbraucherkonten härten. Die neue VECT 2.0-Ransomware erschwert die Wiederherstellung zusätzlich: Aufgrund von Programmierfehlern zerstört die Malware Daten über 128 KB unwiderruflich – selbst wenn ein Lösegeld gezahlt wird.
Für die mobile Industrie, die zunehmend Drittanbieter-Mini-Apps und cloudbasierte Kommunikationstools integriert, verschwimmt die Grenze zwischen vertrauenswürdiger und nicht vertrauenswürdiger Software zusehends. Sicherheitsexperten setzen daher verstärkt auf Zero-Trust-Architekturen. Der Erfolg dieser defensiven Strategien wird maßgeblich von der schnellen Einführung von Passkeys, der rigorosen Überwachung der Software-Lieferketten und der rechtzeitigen Behebung von Kerninfrastruktur-Schwachstellen abhängen.
