Sicherheitslücke in Push-SDK gefährdet Millionen Krypto-Wallets

Eine kritische Schwachstelle in einem weit verbreiteten Software-Entwicklungskit (SDK) für Push-Benachrichtigungen hat Millionen Android-Geräte gefährdet. Besonders betroffen sind Nutzer von Krypto-Wallet-Apps, deren sensible Daten im Visier von Cyberkriminellen standen. Der Vorfall zeigt das massive Risiko durch Drittanbieter-Code in sicherheitskritischen Anwendungen.

Angesichts der Millionen Android-Geräte, die täglich durch Sicherheitslücken in Apps gefährdet sind, wird ein proaktiver Schutz des eigenen Smartphones immer wichtiger. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv vor Hackern und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Fehler im EngageLab SDK betrifft 50 Millionen Installationen

Im Zentrum steht eine schwerwiegende „Intent Redirection“-Schwachstelle im EngageLab SDK. Dieses Werkzeug für Push-Benachrichtigungen steckt in zahlreichen mobilen Apps. Von der Lücke sind über 50 Millionen Android-Installationen betroffen – mehr als 30 Millionen davon entfallen auf Krypto-Wallet-Anwendungen.

Die Schwachstelle in der exportierten Aktivität „MTCommonActivity“ erlaubte unbefugten Akteuren Zugriff auf interne Verzeichnisse und sensible Daten der betroffenen Apps. Microsoft hatte das Problem bereits im April 2025 gemeldet. Eine bereinigte SDK-Version erschien Anfang November 2025, woraufhin gefährdete Apps aus den offiziellen Märkten entfernt wurden.

Bisher gibt es keine Beweise für einen massenhaften Missbrauch. Doch der Fall unterstreicht das systemische Risiko durch tief integrierte Drittanbieter-Komponenten. Ergänzt wird das Bild durch Malware wie „NoVoice“, die in Dutzenden Play-Store-Apps steckte. Diese Schadsoftware entwendet Daten aus WhatsApp und kann sogar ein Werksreset überdauern.

Phishing-as-a-Service industrialisiert den Betrug

Parallel zu technischen Schwachstellen boomt ein hocheffizientes Ökosystem für organisierten Betrug. Das Modell „Phishing-as-a-Service“ (PhaaS) ermöglicht auch technisch weniger Versierten komplexe Angriffe. Spezialisierte Anbieter stellen die Infrastruktur, Köder-Zustellung und Monetarisierung der gestohlenen Daten bereit. Einsteiger-Kits gibt es ab zehn US-Dollar.

Diese Plattformen nutzen moderne Techniken wie „Adversary-in-the-Middle“ (AiTM), um Multi-Faktor-Authentifizierungen (MFA) zu umgehen. Künstliche Intelligenz hilft, Phishing-Köder zu lokalisieren und glaubwürdiger zu gestalten. Bekannte Gruppen setzen auf Frameworks wie GhostFrame für zielgerichtete Kampagnen.

Ein aktueller Trend ist „Quishing“ – Phishing mit gefälschten QR-Codes. In mehreren US-Bundesstaaten verschickten Kriminelle SMS-Nachrichten über angebliche Verkehrsverstöße. Empfänger sollten einen QR-Code scannen, um eine Gebühr zu begleichen, und landeten auf gefälschten Behördenseiten. Solche Methoden zielen gezielt auf das Vertrauen in digitale Zahlungsprozesse.

Krypto-Kriminalität verursacht Milliardenschäden

Die finanziellen Auswirkungen sind drastisch. Das Internet Crime Complaint Center des FBI verzeichnete für 2025 in den USA Gesamtschäden von rund 21 Milliarden US-Dollar durch Internetkriminalität – ein Plus von 26 Prozent. Besonders auffällig: Krypto-Kriminalität macht mit über 11 Milliarden US-Dollar mehr als die Hälfte der Schäden aus.

Ein wachsender Anteil wird dem Einsatz Künstlicher Intelligenz zugeschrieben. Beschwerden über Voice Cloning und Deepfakes führten 2025 zu Verlusten von fast 900 Millionen US-Dollar. Besonders ältere Menschen stehen im Fokus: Bei Opfern über 60 Jahren stiegen die Verluste um 37 Prozent auf fast acht Milliarden Dollar.

Ein veraltetes Android-System bietet Cyberkriminellen oft eine offene Tür für den Diebstahl sensibler Daten und Krypto-Werte. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie durch die richtigen Updates und Sicherheitseinstellungen Ihr Smartphone dauerhaft vor Malware schützen. Kostenlosen Android-Update-Ratgeber herunterladen

Die Professionalisierung macht auch vor der Hardware nicht halt. Neue Angriffsmethoden auf Grafikprozessoren, wie Rowhammer-Attacken, ermöglichen Privilegien auf Systemebene. Anfang April wurde zudem die Website eines bekannten Anbieters von System-Werkzeugen kompromittiert. Angreifer verteilten Malware, um Zugangsdaten aus Webbrowsern zu stehlen.

Tech-Konzerne setzen auf On-Device-Sicherheit

Angesichts der Bedrohung forcieren Tech-Unternehmen hardwarenahe Sicherheitslösungen. Ein zentraler Trend ist die Verlagerung von Schutzmechanismen direkt auf das Endgerät („On-Device“). Google und Samsung kündigten an, KI-basierte Betrugserkennung auf kommenden Smartphones auszuweiten. Diese Systeme analysieren Telefongespräche lokal in Echtzeit und warnen vor Scams, ohne Daten extern zu senden.

Zudem werden neue Standards eingeführt, um den Diebstahl von Sitzungsdaten zu erschweren. Der Browser Chrome implementiert „Device Bound Session Credentials“ (DBSC). Diese Technologie bindet aktive Sitzungen an den Hardware-Sicherheitschip des Geräts. Gestohlene Session-Tokens werden so auf anderen Systemen wertlos.

Auch auf Betriebssystem-Ebene werden Kontrollen verschärft. Neue Android-Updates adressieren Dutzende Schwachstellen. Hersteller wie Samsung rollen monatliche Patches für Flaggschiff-Modelle aus. Berechtigungsmodelle wie „SYSTEM_ALERT_WINDOW“, die für „Cloak and Dagger“-Angriffe missbraucht wurden, werden restriktiver gehandhabt.

Strukturelles Problem der Software-Lieferkette

Die Vorfälle um das EngageLab SDK zeigen ein strukturelles Problem der modernen Softwareentwicklung. Die massive Wiederverwendung von Code-Bibliotheken führt dazu, dass eine Schwachstelle Millionen Endpunkte gleichzeitig gefährdet. Für Finanz- und Krypto-Unternehmen wird die Überprüfung der integrierten SDKs zur geschäftskritischen Aufgabe.

Branchenanalysten beobachten eine Verschiebung der Angriffsziele: Der einzelne Nutzer mit seinem Mobilgerät rückt in den Fokus. Die Kombination aus technischer Malware und psychologischer Manipulation erweist sich als äußerst effektiv. Besonders perfide sind „Recovery Scams“, bei denen bereits geschädigte Opfer unter dem Vorwand einer Geldrückholung erneut betrogen werden.

Laut Umfragen der AARP wurden rund vier von zehn US-Erwachsenen bereits Opfer von Betrug oder Identitätsdiebstahl. Die gesellschaftliche Dimension des Problems ist enorm. Für die nahe Zukunft ist mit einer weiteren Verschärfung des Wettrüstens zwischen Cyberkriminellen und Sicherheitsanbietern zu rechnen.

de | boerse | 69124970 |