Xiaomi-Geräte versenden gefälschte News auf den Sperrbildschirm

Betrüger kapern Systembenachrichtigungen von Smartphones, um Nutzer in die Falle zu locken. Statt dubioser E-Mails platzieren sie täuschend echte Fake-News direkt auf dem Sperrbildschirm. Entdeckt wurde die Schwachstelle von der Stiftung Warentest.

Da herkömmliche Spam-Filter bei manipulierten Systemnachrichten oft versagen, benötigen Android-Nutzer eine zusätzliche Strategie für ihre Gerätesicherheit. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie WhatsApp, Banking und Co. wirksam vor Datendieben schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Diese Entwicklung markiert einen gefährlichen Wendepunkt. Nutzer vertrauen den Warnungen ihres eigenen Gerätes traditionell blind. Jetzt zeigt sich: Selbst grundlegende Systemkanäle sind nicht mehr vor Manipulation geschützt.

So funktioniert der perfide Betrug

Der konkrete Auslöser für die Warnungen sind Geräte des Herstellers Xiaomi. Bestimmte Modelle, darunter das Redmi 15, verschickten ohne Zutun der Besitzer irreführende Push-Benachrichtigungen. Technisch stammten diese vom vorinstallierten Browser.

Die Meldungen sahen aus wie Eilmeldungen seriöser Nachrichtenportale. Mit reißerischen Schlagzeilen über angebliche Geheimnisse von Politikern oder Prominenten weckten sie die Neugier. Durch die Platzierung in der Systemleiste suggerierten sie hohe Dringlichkeit.

Die verantwortliche App sitzt tief im System und lässt sich nicht einfach deinstallieren. Viele Nutzer waren dieser Flut an Falschmeldungen zunächst schutzlos ausgeliefert.

Die Falle schnappt auf gefälschten News-Seiten zu

Tippte ein Nutzer auf die Push-Nachricht, landete er nicht bei einer legitimen Quelle. Stattdessen öffnete sich eine professionell gefälschte Webseite. Diese waren detailgetreu Nachrichtenmarken wie der Tagesschau oder dem Heute-Journal nachempfunden. Einige Seiten nutzten sogar das offizielle Bundeswappen.

Hinter der seriösen Fassade verbarg sich handfester Betrug. Den Besuchern wurden frei erfundene, lukrative Investitionsmöglichkeiten angepriesen. Das Ziel: sensible Bankdaten, Kreditkarteninformationen oder persönliche Identifikationsmerkmale abzugreifen.

Diese Masche ist besonders tückisch. Sie missbraucht das Vertrauen in etablierte Medienmarken, um die natürliche Skepsis der Opfer zu umgehen.

Die Angriffsmethode wird immer beliebter

Die Zweckentfremdung von Push-Benachrichtigungen beschränkt sich nicht nur auf Xiaomi. IT-Sicherheitsunternehmen wie Malwarebytes warnen vor ähnlichen Kampagnen. Bei einer aktuellen Methode locken Betrüger Nutzer auf gefälschte Google-Sicherheitschecks.

Unter dem Vorwand, wichtige Warnungen aktivieren zu müssen, drängen sie die Opfer, der Seite Push-Berechtigungen zu erteilen. Haben die Kriminellen diese Erlaubnis, können sie jederzeit Benachrichtigungen senden.

Oft übersehen Smartphone-Nutzer kritische Einstellungen, die eine Einladung für Hacker darstellen können. Erfahren Sie in diesem kompakten Leitfaden mit praktischen Checklisten, wie Sie automatische Prüfungen und wichtige Sicherheits-Updates richtig nutzen. Kostenlosen Android-Guide jetzt anfordern

Experten vergleichen diese Vorgehensweise mit Remote-Access-Trojanern. Die Angreifer nutzen den Kanal nicht nur für Spam. Sie versuchen teils auch, Zwei-Faktor-Authentifizierungscodes abzufangen oder Standortdaten auszulesen.

Warum verschiebt sich der Fokus der Cyberkriminellen?

Der Grund ist einfach: Traditionelle Spam-Filter für E-Mails arbeiten mittlerweile sehr effizient. Der direkte Weg über das Benachrichtigungssystem des Smartphones ist ein hochattraktiver, alternativer Angriffsvektor.

Analysten sehen hier eine bedenkliche Lücke in der Architektur mobiler Betriebssysteme. Sie geben Webseiten und vorinstallierten Apps zu leicht die ungeteilte Aufmerksamkeit der Nutzer.

Die Industrie reagiert prompt. Ein Xiaomi-Sprecher erklärte, man nehme den Vorfall ernst und habe interne Untersuchungen eingeleitet. Sicherheitsexperten fordern strengere Kontrollen für globale Inhaltsanbieter in System-Apps.

Gleichzeitig wird diskutiert, ob Betriebssystemhersteller wie Google oder Apple die Vergabe von Push-Berechtigungen strenger reglementieren müssen. Die nahtlose Integration von KI-gestützten Texten macht Falschmeldungen zudem immer schwerer von echten Inhalten zu unterscheiden.

Wie können sich Nutzer schützen?

In den kommenden Monaten werden sich die Methoden der Angreifer weiter verfeinerern. IT-Sicherheitsforscher rechnen mit hochgradig personalisierten Push-Nachrichten, die aktuelle Nachrichtenlagen in Echtzeit adaptieren.

Für Verbraucher bedeutet das: Eine gesunde Portion Misstrauen gegenüber dem eigenen Smartphone wird unerlässlich. Experten raten dringend, die Berechtigungen für Benachrichtigungen in den Geräteeinstellungen regelmäßig zu überprüfen.

Unbekannten oder selten genutzten Apps sowie Webseiten sollte das Recht auf Push-Mitteilungen konsequent entzogen werden. Die Sicherheitsindustrie arbeitet an intelligenten Filtern direkt auf den Endgeräten. Diese sollen verdächtige Verlinkungen in Benachrichtigungen blockieren, bevor sie den Sperrbildschirm erreichen.

Bis diese Technologien flächendeckend verfügbar sind, bleibt die Aufklärung der Anwender der wichtigste Schutz.