CallPhantom: 28 betrügerische Apps mit Millionen Installationen aufgedeckt

Sicherheitsforscher von ESET haben eine groß angelegte Betrugsmasche auf dem Google Play Store entdeckt. Mindestens 28 Apps lockten Nutzer mit falschen Versprechungen in kostenpflichtige Abos – und wurden über 7,3 Millionen Mal installiert.

Die als „CallPhantom" getaufte Kampagne zielte vor allem auf Nutzer in Indien und dem asiatisch-pazifischen Raum ab. Die Apps gaben vor, Zugriff auf Anrufprotokolle und SMS-Nachrichten beliebiger Telefonnummern zu ermöglichen. „Die Apps erzeugten lediglich Zufallsdaten, um die Illusion einer echten Überwachung zu erzeugen", erklärt ESET-Forscher Lukáš Štefanko. Wer die vermeintlichen Ergebnisse sehen wollte, musste teils bis zu 80 Euro über Google-Play-Abonnements oder Drittanbieter-Zahlungsdienste bezahlen.

Banking, E-Mails, Fotos — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum Hauptziel für Betrüger macht. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Gerät mit 5 einfachen Schritten wirksam vor Hackern und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Google hat die betrügerischen Apps inzwischen aus dem Store entfernt. Doch die hohe Installationszahl gibt Anlass zur Sorge: Viele Nutzer haben die Software vermutlich noch immer auf ihren Geräten oder zahlen weiterhin für nicht erbrachte Leistungen.

Android-Sicherheit unter Druck

Die CallPhantom-Enthüllung ist kein Einzelfall. Eine aktuelle Analyse des Tools AppXpose zeigt, dass etwa jedes siebte getestete Programm ein hohes oder kritisches Sicherheitsrisiko darstellt. Besonders alarmierend: Finanz-Apps enthalten im Schnitt 13,5 Tracker-SDKs – viele davon unbekannt oder undokumentiert.

Erst Anfang Mai entdeckte der Sicherheitsforscher Yusef eine schwerwiegende Schwachstelle in Android 16: Die VPN-Funktion des Systems lässt Datenverkehr offenbar auch dann am Schutzschirm vorbei, wenn die Einstellungen „Immer eingeschaltet" und „Verbindungen ohne VPN blockieren" aktiv sind. Google stuft das Problem zwar als außerhalb seines primären Bedrohungsmodells ein, doch Drittanbieter wie Mullvad bestätigen den Fehler und empfehlen Workarounds.

KI-gesteuerte Angriffe nehmen zu

Ein weiterer trend beunruhigt die Sicherheitsbranche: Künstliche Intelligenz wird zunehmend zur Waffe. Am 16. Mai 2026 gelang es der KI „Mythos" von Anthropic, eine kritische Schwachstelle in Apples macOS auszunutzen. Die KI kombinierte zwei separate Fehler, um die Speicherschutzfunktion von Apple zu umgehen – und übernahm innerhalb von fünf Tagen die vollständige Systemkontrolle.

Google plant „Security Fortress" für Android 17

Als Reaktion auf die wachsenden Bedrohungen bereitet Google weitreichende Sicherheitsupdates vor. Für Android 17, das im Sommer 2026 erscheinen soll, ist eine „Security Fortress"-Initiative angekündigt. Herzstück: „Verifizierte Finanzanrufe". Das System prüft eingehende Anrufe über die Banking-App des Nutzers und verhindert so Identitätstäuschung. Erste Partner sind Revolut, Itaú und Nubank.

Weitere Neuerungen:
- Dynamische Signalüberwachung: Erkennt versteckte Änderungen an Apps in Echtzeit
- Verbesserter Surfen-Schutz: Chrome scannt APK-Downloads bereits vor Abschluss der Übertragung
- Eingeschränkter Zugriff: Apps ohne offizielle Accessibility-APIs erhalten keinen Zugriff auf sensible Daten

Passkeys werden flexibler

Ebenfalls am 16. Mai begann Google mit Tests für eine wichtige Neuerung: Android-Nutzer können Passkeys künftig zwischen verschiedenen Passwort-Managern wie Bitwarden importieren und exportieren. Möglich macht das der Credential Exchange Protocol (CXP). Damit zieht Android mit Apples iOS 26 gleich, das den Standard bereits unterstützt.

Angesichts immer raffinierterer Phishing-Methoden reicht ein herkömmliches Passwort oft nicht mehr aus, um Ihre Online-Konten bei Amazon, WhatsApp oder Microsoft zu schützen. Erfahren Sie in diesem kostenlosen Report, wie Sie die neue Passkey-Technologie einrichten und sich so dauerhaft vor Datenklau schützen. Kostenlosen Passkey-Ratgeber herunterladen

„Quishing" – die neue Betrugsmasche

CallPhantom ist Teil einer größeren Welle. Im ersten Quartal 2026 stieg die Zahl der „Quishing"-Angriffe – Phishing über QR-Codes – um 150 Prozent auf rund 18 Millionen Fälle. Die Täter umgehen damit klassische E-Mail-Filter, denn der schädliche Inhalt steckt im Bild, nicht im Text.

Auch Unternehmen sind betroffen. Laut Dashlane ist ein Drittel aller Unternehmens-Logins außerhalb von Single-Sign-On-Systemen schwach oder kompromittiert. Dashlane hat daher im April 2026 eine Integration mit KnowBe4 gestartet, die Mitarbeiter bei Nutzung kompromittierter Zugangsdaten sofort schult.

Deutschland im Visier

Die Bedrohungslage ist auch in Deutschland ernst. Anfang Mai 2026 traf ein Cyberangriff die Arzneimittelprüfungsfirma Arwini in Hannover – mutmaßlich wurden Gesundheitsdaten von über 70.000 Menschen gestohlen. Parallel dazu attackiert die Belarus-verknüpfte Hackergruppe Ghostwriter mit Geofencing-Techniken Regierungsbehörden in der Ukraine, Polen und Litauen. Die Angreifer liefern Schadsoftware nur an IP-Adressen aus bestimmten Regionen aus – und entgehen so der internationalen Forschung.

BSI warnt vor Microsoft Authenticator

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 14. Mai 2026 eine Hochrisiko-Warnung für Microsoft Authenticator herausgegeben. Die Schwachstelle CVE-2026-41615 könnte anonymen Angreifern den Zugriff auf vertrauliche Informationen ermöglichen. Ein alarmierender Beleg dafür, dass selbst Sicherheits-Tools angreifbar sind.

WhatsApp plant für dieses Jahr neue Schutzfunktionen: Ein obligatorisches Passwort mit 6 bis 20 Zeichen soll künftig bei der Registrierung neuer Geräte fällig werden. Die Branche zieht damit Konsequenzen aus der Erkenntnis, dass SMS-basierte Zwei-Faktor-Authentifizierung nicht mehr ausreicht.

Mit dem Ende des Supports für Android 5.0 und iOS 13 im September 2026 erzwingt die Industrie den Umstieg auf moderne Hardware. Nur sie kann die Verschlüsselung und KI-basierte Erkennung leisten, die nötig ist, um Betrugsmaschen wie CallPhantom künftig zu verhindern. Doch der Fall zeigt: Auch die beste Technik ersetzt nicht die Aufklärung der Nutzer – denn wer glaubt, fremde Telefone ausspionieren zu können, wird immer Betrügern auf den Leim gehen.

de | wissenschaft | 69352651 |