SVG-Dateien werden zur größten Smartphone-Bedrohung 2025

Sicherheitsexperten warnen vor einer Explosion bösartiger SVG-Anhänge in Phishing-Mails. Diese Dateien enthalten ausführbaren Code, der Smartphones besonders effektiv angreift. Der Grund: Viele Mail-Apps rendern die vermeintlichen Bilder automatisch – und führen so Schadsoftware aus.

Laut aktuellen Berichten stieg die Nutzung von Scalable Vector Graphics (SVG) für Angriffe in diesem Jahr um unfassbare 47.000 Prozent. Sicherheitsfirmen wie Sublime Security und KnowBe4 beobachten diese Entwicklung mit großer Sorge.

Phishing per SVG ist eine neue, besonders tückische Gefahr – viele Mail‑Apps laden Grafiken automatisch und führen so versteckten Code auf Smartphones aus. Der kostenlose Anti‑Phishing‑Guide bietet eine praxisnahe 4‑Schritte‑Anleitung: gefährliche SVG‑Anhänge erkennen, Mail‑Vorschau sicher konfigurieren, Sofortmaßnahmen bei Verdacht und eine Checkliste für Privatnutzer sowie IT‑Verantwortliche. Zusätzlich erklärt der Guide typische psychologische Angriffsmuster und branchenspezifische Risiken. Anti‑Phishing-Guide jetzt herunterladen

SVGs sind keine normalen Bilddateien. “Es sind XML-basierte Dokumente aus Code”, erklärt ein Sophos-Sprecher. “Dort können Angreifer bösartige Skripte verstecken.” Tools wie “AutoSmuggle” erlauben es, Keylogger wie Agent Tesla direkt im Grafikcode zu verbergen. Herkömmliche Virenscanner erkennen die Dateien oft als harmlose Logos oder Rechnungsgrafiken.

Smartphones sind das perfekte Ziel für diese Angriffswelle. Warum?

• Automatische Ausführung: Mail-Apps wie iOS Mail oder Gmail laden Bilder oft standardmäßig. Da das System SVGs als Grafik einstuft, wird der enthaltene Code sofort gerendert und ausgeführt.
• Das “Browser-in-the-Browser”-Problem: Kriminelle erzeugen gefälschte Login-Felder innerhalb der SVG-Datei. Auf dem kleinen Smartphone-Bildschirm sieht das täuschend echt aus. “Das Opfer tippt seine Daten buchstäblich in das Bild hinein”, so ein Analyst von Hoxhunt.

Diese aktuellen Kampagnen bedrohen Nutzer

Die Angriffe sind längst Realität. Zwei Kampagnen stachen zuletzt hervor:

• Die “Voice Message”-Falle: E-Mails täuschen eine verpasste Sprachnachricht vor. Der SVG-Anhang zeigt einen Play-Button. Ein Klick lädt jedoch Malware nach oder leitet auf getarnte Phishing-Seiten weiter.
• Der Behörden-Betrug: Im September 2025 imitierten SVG-Dateien offizielle Dokumente kolumbianischer Justizbehörden. Der hochgradig verschleierte Code wurde von 44 Antiviren-Engines zunächst nicht erkannt.

SVG wird das neue Makro

Experten sehen hier eine direkte Reaktion auf verbesserte Sicherheit. “SVG ist das neue Makro”, sagt ein Forscher von Malwarebytes. Da Microsoft Office-Makros standardmäßig blockiert, verlagern Kriminelle ihre Angriffe in die Rendering-Engine des Browsers – das Herzstück moderner Smartphones.

Das Problem: SVGs sind für modernes Webdesign unverzichtbar. Ein pauschales Blockieren würde das Internet beeinträchtigen. Diese Abwägung gibt Angreifern einen strategischen Vorteil.

So schützen Sie sich jetzt

Bis mobile Betriebssysteme nachrüsten, liegt der Schutz beim Nutzer.

Effektive Maßnahmen:

• Vorschau deaktivieren: Stellen Sie in Ihrer Mail-App ein, dass Bilder externer Absender nicht automatisch geladen werden.
• Dateiendungen prüfen: Seien Sie misstrauisch bei Anhängen, die auf .svg enden. Echte Rechnungen kommen meist als PDF.
• Keine Interaktion mit “Bildern”: Geben Sie niemals Passwörter in Felder ein, die nach dem Öffnen eines Anhangs erscheinen.
• Spezielle Sicherheits-Apps nutzen: Herkömmliche Mail-Filter versagen oft bei SVGs. Apps, die Browser-Downloads in Echtzeit scannen, bieten zusätzlichen Schutz.