CallPhantom: 28 Google-Play-Apps mit 7,3 Millionen Downloads entdeckt

Die Kampagne mit dem Namen CallPhantom umfasst 28 Apps, die zusammen mehr als 7,3 Millionen Downloads erzielten.

Die Anwendungen tarnten sich als nützliche Alltagswerkzeuge. In Wirklichkeit steckte dahinter ein System aus intransparenten Abonnement-Modellen. Die Kosten reichten von kleinen Beträgen bis zu jährlichen Gebühren von 80 US-Dollar.

Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum idealen Ziel für Betrugs-Apps macht. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät effektiv vor Abofallen und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Besonders betroffen waren Nutzer in der Region Asien-Pazifik, vor allem in Indien. Dort nutzten die Angreifer lokale Zahlungsschnittstellen wie UPI. Google hat die Apps nach der Meldung durch ESET aus dem Play Store entfernt.

Kriminelle setzen auf KI

Die CallPhantom-Kampagne ist Teil einer breiteren Eskalation der mobilen Bedrohungslage. Im Frühjahr 2026 setzen Cyberkriminelle zunehmend auf künstliche Intelligenz und raffinierte Social-Engineering-Taktiken.

Ein Beispiel ist die Software PromptSpy. Sie nutzt erstmals Googles KI-Modell Gemini, um gezielt Bildschirmaufnahmen zu erstellen und Daten vom Sperrbildschirm zu extrahieren. Die Integration von KI-Funktionen erschwert die Erkennung durch herkömmliche Schutzprogramme.

Parallel registrieren Branchenanalysten eine neue Generation von Banking-Trojanern. Diese sind entweder direkt in die Firmware von Neugeräten integriert oder verbreiten sich über Messenger-Dienste wie WhatsApp.

TCLBANKER zielt auf 59 Finanzplattformen

Der Banking-Trojaner TCLBANKER verbreitet sich vornehmlich über WhatsApp oder E-Mail-Clients wie Outlook. Eine Wurm-Komponente namens SORVEPOTEL leitet die Malware automatisiert an Kontakte weiter.

Einmal installiert, missbraucht TCLBANKER die Accessibility Services (Eingabehilfen) für Overlay-Angriffe. Dabei legt sich eine gefälschte Benutzeroberfläche über legitime Finanz-Apps. Insgesamt zielt der Trojaner auf 59 verschiedene Finanz- und Kryptoplattformen ab.

Durch Screen-Scraping fängt die Software Zwei-Faktor-Authentifizierungscodes in Echtzeit ab. Die Installation wird oft durch Social Engineering erreicht – die Malware tarnt sich als dringendes Sicherheitsupdate, das ein manuelles Sideloading der APK erfordert.

Keenadu: Malware ab Werk auf neuen Geräten

Noch tiefer im System setzt die von Kaspersky identifizierte Malware Keenadu an. Sie wurde bereits in der Firmware neuer Geräte entdeckt. Bis Februar 2026 registrierten Experten weltweit über 13.000 infizierte Geräte.

Schwerpunkte liegen in Deutschland, Japan und den Niederlanden. Da die Malware ab Werk vorhanden ist, haben herkömmliche Sicherheits-Apps oft keinen Zugriff auf die infizierten Systembereiche.

Ein veraltetes System oder manipulierte Firmware ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre persönlichen Daten abgesehen haben. In diesem kostenlosen PDF-Report erfahren Sie in 5 einfachen Schritten, wie Sie mit den richtigen Updates und Sicherheitsregeln Sicherheitslücken dauerhaft schließen. Android-Sicherheits-Ratgeber jetzt gratis herunterladen

Gericht stärkt Verbraucherrechte

Die zunehmende Komplexität der Angriffe führt vermehrt zu juristischen Auseinandersetzungen. Ende April 2026 fällte das Landgericht Berlin II ein wegweisendes Urteil: Die Apobank muss einem Kunden Schadensersatz von über 200.000 Euro zahlen. Das Gericht sah die Verantwortung bei der Bank, da die Sicherheitsvorkehrungen den Angriff nicht verhindert hatten.

Das Oberlandesgericht Koblenz stärkte zudem die Position der Verbraucher: Das bloße Anklicken eines Links in einer SMS gilt demnach nicht als grob fahrlässig. Das ist besonders relevant angesichts massiv steigender Fallzahlen beim Quishing – dem Phishing mittels manipulierter QR-Codes. Branchenberichte verzeichnen im ersten Quartal 2026 einen Anstieg um 146 Prozent auf rund 18,7 Millionen Fälle weltweit.

In Österreich gerieten zudem rund 300.000 Zertifikate der ID Austria ins Visier von Kriminellen. Durch Smishing-Kampagnen versuchten Angreifer, auf die digitalen Identitäten zuzugreifen – in Einzelfällen mit Schäden von über 30.000 Euro.

Plattformen reagieren mit strukturellen Änderungen

Meta hat am 10. Mai die optionale Ende-zu-Ende-Verschlüsselung für Direktnachrichten auf Instagram eingestellt. Nutzer werden verstärkt auf WhatsApp verwiesen, das als primäres Produkt für geschützte Kommunikation positioniert wird. Datenschutzorganisationen wie die Electronic Frontier Foundation kritisierten den Schritt.

Für den Sommer steht die Veröffentlichung von Android 17 bevor. Google plant verbesserte Schutzmechanismen gegen SMS-Stealer und eine sogenannte Binary Transparency. Diese soll sicherstellen, dass installierte Software nicht nachträglich manipuliert wurde.

WhatsApp kündigte an, den Support für ältere Geräte ab dem 8. September einzustellen. Betroffen sind Smartphones mit Betriebssystemen älter als Android 5.0 oder iOS 13. Grund ist die fehlende Hardware-Beschleunigung für moderne Verschlüsselungsprotokolle.

Schäden erreichen Rekordmarken

Der Gesamtschaden durch mobile Cyberkriminalität beläuft sich laut Federal Trade Commission auf über 3,5 Milliarden US-Dollar. Microsoft dokumentierte im April eine Kampagne, die gezielt 35.000 Nutzer in 26 Ländern ins Visier nahm.

Besonders betroffen waren Mitarbeiter im Gesundheitswesen und im Finanzsektor. Sie wurden mit gefälschten Verhaltenskodizes geködert, um Multi-Faktor-Authentifizierungen mittels Adversary-in-the-Middle-Taktiken zu umgehen.

Phishing-as-a-Service-Angebote wie EvilTokens ermöglichen zudem auch weniger technisch versierten Tätern professionelle Angriffe. Dabei wird zunehmend der OAuth 2.0 Device Code Grant missbraucht – ein Protokoll, das ursprünglich für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt wurde.

Ausblick: KI-gestützte Angriffe nehmen zu

Experten erwarten eine Fortsetzung des Trends hin zu KI-gestützten Angriffen. Schätzungen zufolge könnten bis zu 42 Prozent aller Sicherheitsvorfälle einen direkten Bezug zu künstlicher Intelligenz aufweisen – sei es durch Deepfake-Sprachnachrichten für den Enkeltrick 2.0 oder durch automatisierte Schadcode-Generierung.

Unternehmen und private Nutzer werden zunehmend angehalten, auf Passkeys umzusteigen. Klassische Passwörter bleiben trotz hoher subjektiver Sicherheitsvahrnehmung – 74 Prozent der Deutschen halten ihre Passwörter für sicher – eine leichte Beute für moderne Malware. Sicherheitsexperten fordern zudem Zero-Trust-Architekturen auf Betriebssystemebene, um die Kontrolle über Systemschnittstellen wie die Eingabehilfen zurückzugewinnen.

de | wissenschaft | 69304920 |