CloudZ-Trojaner und KI-Phishing: Die neue Ära des digitalen Bankraubs

Kriminelle nutzen generative KI und mobile Trojaner, um Sicherheitssysteme zu umgehen. Die Bedrohungslage für Bankkunden eskaliert dramatisch.

Die Finanzkriminalität erlebt einen fundamentalen Wandel. Im Frühjahr 2026 zeigt sich ein besorgniserregender Trend: Hochentwickelte mobile Schadsoftware kombiniert mit KI-generierten Phishing-Angriffen setzt traditionelle Sicherheitsmechanismen außer Kraft. Täglich werden rund 3,4 Milliarden Phishing-Mails verschickt – 82,6 Prozent davon stammen inzwischen aus KI-Werkzeugen. Ein aktuelles Urteil des Berliner Landgerichts stellt zudem klar: Banken müssen bei professionell inszeniertem Betrug haften.

Mobile Trojaner: Wenn die Zwei-Faktor-Authentifizierung versagt

Eine neue Generation von Schadsoftware zielt gezielt auf die Sicherheitscodes ab, die Konten schützen sollen. Der CloudZ-Trojaner nutzt die Microsoft-Phone-Link-Funktion, um SMS und Einmalpasswörter direkt vom synchronisierten Desktop abzugreifen – ohne jemals das physische Mobilgerät zu berühren.

Angesichts der zunehmenden Angriffe durch mobile Trojaner wie CloudZ wird der gezielte Schutz des eigenen Geräts für Bankkunden zur absoluten Notwendigkeit. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker, Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen für Android entdecken

Noch perfider agiert der TCLBANKER-Trojaner, der aktuell rund 59 verschiedene Banking- und Finanz-Apps attackiert. Verbreitet über WhatsApp und Outlook, oft getarnt als Produktivitätstool, nutzt er die Android-Barrierefreiheitsdienste für sogenannte Overlay-Angriffe. Der Nutzer gibt seine Zugangsdaten auf einer täuschend echten Fake-Oberfläche ein. Ein zusätzlicher Selbstverbreitungsmechanismus namens SORVEPOTEL sorgt dafür, dass sich die Malware über die Kontakte der Opfer weiterverbreitet.

Das Ausmaß der mobilen Bedrohung zeigt sich auch auf dem Google Play Store: 28 „CallPhantom"-Apps wurden dort entdeckt, die zusammen rund 7,3 Millionen Mal heruntergeladen wurden. Sie versprachen Zugriff auf Anruflisten, lieferten aber gefälschte Daten und kassierten bis zu 75 Euro Jahresgebühr. Noch beunruhigender: Die „Keenadu"-Malware wurde bereits auf der Firmware neuer Android-Geräte vorinstalliert. Bis Februar 2026 identifizierten Forscher über 13.000 infizierte Geräte – mit einem Schwerpunkt in Deutschland, Japan und Brasilien.

KI-Phishing und „Quishing": Die Angriffe werden persönlicher

Künstliche Intelligenz revolutioniert die Qualität von Phishing-Angriffen. Statt plumper Massenmails mit Rechtschreibfehlern erstellen KI-Tools heute personalisierte, sprachlich perfekte Köder für gezielte Angriffe. Besonders aggressiv zeigt sich der Trend zum QR-Code-Phishing – „Quishing" genannt. Im ersten Quartal 2026 stiegen die Vorfälle um 146 Prozent auf 18,7 Millionen. Die Codes umgehen traditionelle E-Mail-Filter, die nach schädlichen Links suchen.

Mitte April 2026 erschütterte eine massive Kampagne die Sicherheitsbranche: Über 35.000 Nutzer in 26 Ländern wurden attackiert. Die Täter nutzten „Adversary-in-the-Middle"-Techniken, um selbst die Mehrfaktor-Authentifizierung zu umgehen.

Die KI-Entwicklung geht noch weiter: Stimmklonung benötigt nur drei Sekunden Audiomaterial, um eine Person täuschend echt nachzuahmen. Betrüger geben sich als Familienmitglieder oder Vorgesetzte aus und fordern zu Notüberweisungen auf. Die US-Handelsbehörde FTC meldete für 2025 Verluste von über 3,2 Milliarden Euro durch Identitätstäuschung – bei mehr als einer Million gemeldeter Fälle.

Urteil des Landgerichts Berlin: Banken in der Pflicht

Ein wegweisendes Urteil vom 22. April 2026 setzt neue Maßstäbe. Das Landgericht Berlin II verurteilte die Apobank zur Zahlung von über 200.000 Euro Schadensersatz an einen Kunden. Der Fall zeigt die neue Dimension professioneller Täuschung: Ein physischer Brief, eine manipulierte Online-Banking-Oberfläche und ein Anruf von der scheinbar echten Bank-Hotline – die Inszenierung war perfekt.

Das Gericht entschied, dass dem Kunden keine grobe Fahrlässigkeit vorzuwerfen sei. Die Täuschung sei so professionell gewesen, dass ein Durchschnittsnutzer sie nicht hätte erkennen können. Entscheidend aber: Die Bank hätte den Betrug durch eigene Sicherheitssysteme erkennen müssen. Abweichende IP-Adressen bei der Transaktion hätten einen internen Alarm auslösen müssen. Die Haftung liegt beim Institut.

Dieses Urteil steht im Kontrast zu anderen Fällen – etwa einem Kölner Fall, bei dem ein Opfer 300 Euro durch eine betrügerische Park-App in Kopenhagen verlor. Weil die Zahlung per TAN autorisiert wurde, blieb der Kunde auf dem Schaden sitzen. Die unterschiedlichen Urteile zeigen: Die Grenzen zwischen Fahrlässigkeit und professioneller Täuschung verschwimmen zunehmend.

Schwachstellen und Bot-Armeen: Die technische Verwundbarkeit

Die anhaltende Schwäche von Passwörtern wird durch aktuelle Forschung untermauert. Eine Kaspersky-Studie vom 8. Mai 2026 zeigt: 48 Prozent von 231 Millionen analysierten Passwörtern konnten mit moderner Hardware wie der RTX 5090 in weniger als 60 Sekunden geknackt werden. Verschärfend kommt hinzu, dass Browser wie Microsoft Edge gespeicherte Passwörter unverschlüsselt im Systemspeicher ablegen.

IBM X-Force verzeichnet einen Anstieg von 71 Prozent bei der Nutzung gestohlener Zugangsdaten als erstem Angriffsvektor. Grundlage ist eine Explosion der Bot-Aktivität: Thales berichtet von einem Anstieg KI-gesteuerter Bot-Angriffe von 2 Millionen auf 25 Millionen tägliche Vorfälle. Diese automatisierten Armeen führen Credential-Stuffing-Angriffe und Kontenübernahmen in einem Umfang durch, den manuelle Abwehr nicht bewältigen kann.

Ausblick: Der Abschied vom Passwort

Die Industrie reagiert mit der beschleunigten Einführung von Passkeys. Amazon meldet einen Meilenstein von 456 Millionen Passkey-Nutzern – ein Anstieg von 75 Prozent gegenüber dem Vorjahr. Die Anmeldung per Passkey ist bis zu sechsmal schneller und bietet deutlich besseren Phishing-Schutz.

Da herkömmliche Passwörter immer häufiger in Rekordzeit geknackt werden, bietet die neue Passkey-Technologie die sicherste Alternative für Online-Konten. Ein kostenloser Report erklärt Ihnen verständlich, wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und sich künftig ganz ohne Passwort-Stress per Fingerabdruck anmelden. Sicher und passwortlos: Jetzt kostenlosen Passkey-Report sichern

Die FIDO Alliance arbeitet an neuen Standards speziell für KI-Agenten. Denn je mehr Aufgaben an automatisierte Systeme delegiert werden, desto mehr muss sich die Authentifizierung an nicht-menschliche Entitäten anpassen. Passwort-Manager wie Bitwarden verzeichnen einen Anstieg der täglichen Passkey-Erstellung um 550 Prozent.

Selbst wenn es am heutigen Sonntag bei Kunden der Deutschen Bank und Postbank zu Login-Problemen kam – der langfristige Fokus der Finanzbranche liegt klar auf der Ablösung verwundbarer Authentifizierungsmethoden. Und mit Urteilen wie dem aus Berlin wird der Umstieg auf hardwaregestützte, verschlüsselte Verfahren nicht nur zur Sicherheitsfrage, sondern zur existenziellen Notwendigkeit für jedes Finanzinstitut.

de | wissenschaft | 69301866 |