Android-Alarm: Eine Milliarde Geräte ungeschützt

Meta hat zwar aktuelle Updates für WhatsApp veröffentlicht, doch die eigentliche Gefahr liegt woanders: Millionen Geräte mit alten Betriebssystemen erhalten keine Patches mehr. Kriminelle und staatliche Spyware nutzen diese Lücke gnadenlos aus.

Banking, PayPal oder WhatsApp – wer sein Android-Smartphone täglich nutzt, ist ohne aktuellen Schutz ein leichtes Ziel für Hacker. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät sofort effektiv absichern. 5 Schutzmaßnahmen für Android jetzt kostenlos entdecken

WhatsApp schließt kritische Lücken

Anfang Mai stopfte Meta zwei Sicherheitslöcher in WhatsApp. Die Schwachstellen CVE-2026-23863 und CVE-2026-23866 betrafen Windows, Android und iOS. Unter Windows konnten Angreifer schädliche Anhänge als harmlose Dokumente tarnen. Bei Android und iOS hackte der Fehler die Validierung von Mediennachrichten – externe URLs konnten unbefugt verarbeitet werden.

Bisher gibt es keine Hinweise auf aktive Angriffe über diese spezifischen Lücken. Trotzdem zeigt der Vorfall: Regelmäßige Updates sind überlebenswichtig.

Morpheus-Spyware tarnt sich als Systemupdate

Noch alarmierender ist die neue Spionagesoftware „Morpheus“. Sie stammt aus Europa und zielt gezielt auf Android-Nutzer ab. Die Spyware tarnt sich als dringendes Systemupdate. Nach der Installation kapert sie die Zugänglichkeitsrechte des Betriebssystems, liest Bildschirmaktivitäten aus und übernimmt WhatsApp-Konten komplett.

Berichten zufolge setzen Strafverfolgungsbehörden in über 20 Ländern Morpheus bereits ein. Doch auch Journalisten, Aktivisten und politische Akteure geraten zunehmend ins Visier. Die Software nutzt Social-Engineering-Tricks, um Nutzer zur Installation außerhalb offizieller App-Stores zu bewegen. Experten raten daher strikt zu offiziellen Quellen und zur Aktivierung der Zwei-Faktor-Authentifizierung.

Das Milliarden-Problem: Veraltete Betriebssysteme

Das Kernproblem der mobilen Sicherheit ist die Fragmentierung. Rund eine Milliarde Android-Geräte laufen noch mit Version 12 oder älter – das sind etwa 40 Prozent aller aktiven Android-Geräte. Diese Geräte erhalten keine regelmäßigen Sicherheits-Patches mehr.

Die Folge: Selbst über ein Jahrzehnt alte Schwachstellen wie der Heartbleed-Bug bleiben eine reale Gefahr. Anfang 2026 waren noch über 88.000 Systeme für diesen Exploit anfällig. Während aktuelle Modelle von Samsung oder Google monatliche Updates erhalten – das Galaxy M16 bekam im April einen Patch mit 47 Fehlerbehebungen –, sind ältere Geräte schutzlos.

Ein veraltetes Smartphone wirkt oft wie eine offene Haustür für Cyberkriminelle, die es auf Ihre privaten Daten abgesehen haben. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken schließen und gefährliche Apps rechtzeitig erkennen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Das Botnet „xlabs_v1“, eine Variante der Mirai-Malware, nutzt offene ADB-Ports auf Android-Geräten für DDoS-Angriffe auf Minecraft-Server oder schürft im Hintergrund Kryptowährungen. Betroffene merken oft erst durch lahme Systeme oder leere Akkus, dass ihr Gerät gekapert wurde.

Industrialisiertes Phishing: 80 Milliarden Dollar Schaden

Mobiles Phishing und „Smishing“ (SMS-Phishing) verursachen jährlich rund 80 Milliarden US-Dollar Schaden. Dahinter steckt eine industrialisierte Lieferkette: Opfer-Interface, operativer Betrieb und Monetarisierung. KI-gestützte Werkzeuge erstellen täuschend echte Phishing-Seiten und Nachrichten. Allein im Frühjahr 2026 wurden in einer Woche rund 900 neue Datenlecks beobachtet.

Ein drastisches Beispiel lieferte Kanada. Im Rahmen der Ermittlungen „Project Lighthouse“ nahm die Polizei in Toronto drei Personen fest, die einen „SMS-Blaster“ betrieben. Das Gerät imitiert einen Mobilfunkmast und zwingt Handys in der Umgebung auf den unsicheren 2G-Standard. Anschließend verschickt es massenhaft Phishing-SMS. Über 13 Millionen Netzwerk-Einfangungen wurden registriert. Experten raten daher, die Zwei-Faktor-Authentifizierung per SMS durch Passkeys oder Authentifikator-Apps zu ersetzen.

Industrie reagiert: Millionen-Belohnungen und neue Hardware

Google erhöht die Belohnungen in seinen Bug-Bounty-Programmen deutlich. Für Zero-Click-Exploits gegen den Titan-M-Sicherheitschip gibt es bis zu 1,5 Millionen US-Dollar. Im vergangenen Jahr zahlte der Konzern bereits eine Rekordsumme von über 17 Millionen US-Dollar an Sicherheitsforscher aus.

Mit Android 16, das für Ende 2026 erwartet wird, sollen neue Schutzfunktionen kommen: ein erweiterter Identitäts-Check, verbesserte Diebstahlerkennung und striktere Einschränkungen für das Sideloading von Apps ab September. Auch die Hardware entwickelt sich weiter. Leaks zur Pixel-11-Serie deuten auf den Tensor-G6-Chip im 2-Nanometer-Verfahren mit verbesserten Sicherheitsmodulen wie dem Titan M3 hin.

Doch die Sicherheit am Ende der Software-Lebenszyklen bleibt kritisch. Branchenkenner hoffen auf verschärfte Haftungsregeln für Hersteller innerhalb der EU. Diese könnten längere Update-Zeiträume erzwingen. Bis dahin bleibt Nutzern alter Android-Handys nur der Rat: auf moderne Authentifizierung umsteigen, Apps nur aus verifizierten Quellen beziehen und bei ausbleibenden System-Updates über ein neues Gerät nachdenken. Sonst droht der Anschluss an die ungeschützte „Milliarde“.

de | wissenschaft | 69278242 |