Cyberkriminelle übernehmen fremde Smartphones in Echtzeit

Hacker stehlen nicht länger nur Passwörter – sie übernehmen direkt die Kontrolle über die Geräte ihrer Opfer.

Der Angriff auf das Vertrauen in die Sicherheit

Die Bedrohungslage für mobile Bankgeschäfte hat sich im Frühjahr 2026 dramatisch verschärft. Immer mehr Kriminelle setzen auf sogenanntes „On-Device Fraud" (ODF) – sie kapern Sitzungen in Echtzeit und umgehen so selbst die stärkste Zwei-Faktor-Authentifizierung. Statt wie früher Zugangsdaten abzugreifen, führen die Angreifer Transaktionen direkt vom Smartphone des Opfers aus durch.

Angesichts der neuen Welle von Banking-Malware, die selbst Zwei-Faktor-Authentifizierungen umgeht, ist ein proaktiver Schutz Ihres Mobilgeräts unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Im Mittelpunkt dieser Entwicklung steht der Schädling „Storm". Erst Anfang dieser Woche identifizierten Sicherheitsexperten die Schadsoftware als Treiber dieser neuen Angriffswelle. Storm stiehlt Browser-Sitzungscookies und entschlüsselt sie serverseitig – ein raffinierter Weg, um an den begehrten Zugang zu Bankkonten zu gelangen.

Malware zum Mieten: Das Geschäft mit dem digitalen Einbruch

Der Aufstieg von Storm ist kein Einzelfall. Im Untergrund hat sich ein regelrechter Markt für „Malware-as-a-Service" (MaaS) etabliert. Besonders gefürchtet ist „Albiriox", ein Android-Trojaner, der erstmals Ende 2025 auftauchte. Bis Mai 2026 hat Albiriox seine Zielpalette auf über 400 Finanz-, Kryptowährungs- und Zahlungs-Apps ausgeweitet.

Das macht Albiriox so gefährlich: Statt auf statische Phishing-Seiten zu setzen, nutzt der Trojaner eine VNC-Fernsteuerung (Virtual Network Computing). Die Angreifer sehen den Bildschirm des Opfers in Echtzeit und können selbstständig Wischbewegungen und Texteingaben ausführen. Angeboten wird die Schadsoftware auf russischsprachigen Foren für umgerechnet rund 720 Euro pro Monat. Zum Schutz vor Erkennung setzen die Entwickler auf spezielle Verschlüsselungsdienste wie „Golden Crypt".

Ein weiterer Schädling namens „Klopatra" treibt in diesem Frühjahr sein Unwesen. Forscher haben bereits mindestens 40 verschiedene Versionen dokumentiert. Allein in Italien und Spanien wurden schätzungsweise 3.000 Geräte infiziert. Klopatra besitzt eine „Hidden VNC"-Funktion und blendet einen schwarzen Bildschirm ein, der die Helligkeit auf null reduziert. Das Opfer glaubt, das Handy sei ausgeschaltet – während die Täter in aller Ruhe die gestohlenen PINs nutzen und Konten plündern.

Automatisierte Transfers und kontaktloses Bezahlen als Einfallstor

Die technische Raffinesse der neuen Malware-Generation zeigt sich auch in automatisierten Transfersystemen (ATS). Ein Bericht von Zimperium verfolgte im Frühjahr 2026 insgesamt 34 aktive Android-Banking-Malware-Familien, die 1.243 Finanzinstitute in 90 Ländern ins Visier nahmen. Die Zahl der durch Malware ausgelösten Finanztransaktionen stieg im Jahresvergleich um 67 Prozent – ein direkter Effekt der ATS-Funktionen.

Besonders perfide ist die Kombination von Fernsteuerung und NFC-Technologie. Der Schädling „RatOn" leitet Zahlungsdaten per Near-Field Communication von einem infizierten Gerät an einen Komplizen an der Ladenkasse weiter. Diese „Ghost Tap"-Technik ermöglicht unbefugte Transaktionen selbst bei physischen Händlern – und umgeht damit die geografischen Einschränkungen, die rein digitale Betrugsversuche normalerweise mit sich bringen.

Die Schadsoftware selbst ist oft professionell geschützt. Klopatra etwa nutzt die Virbox-Schutzsuite und setzt auf native Programmbibliotheken, um eine Rückentwicklung zu erschweren. Diese Professionalisierung zeigt: Die Angreifer denken langfristig und wollen ihre Kampagnen möglichst profitabel halten.

Phishing bleibt die größte Gefahr

So ausgefeilt die Technik auch ist – der häufigste Einfallstor bleibt der Mensch. Der britische Cybersicherheitsbericht 2025/26, veröffentlicht am 1. Mai 2026, zeigt: 43 Prozent der britischen Unternehmen und 28 Prozent der Wohltätigkeitsorganisationen erlitten in den vergangenen zwölf Monaten einen Sicherheitsvorfall. Phishing war mit 38 Prozent die häufigste Angriffsform.

Da ein veraltetes Smartphone wie eine offene Haustür für Cyberkriminelle wirkt, ist das Schließen von Sicherheitslücken durch gezielte Updates lebenswichtig für Ihre Datensicherheit. Erfahren Sie in diesem kostenlosen Report, wie Sie automatische Updates richtig anwenden und gefährliche Apps rechtzeitig erkennen. Kostenlosen Android-Sicherheits-Report herunterladen

Die Studie offenbart zudem eine eklatante Lücke in der Vorbereitung. Zwar steigt die Zahl der Unternehmen mit Cybersicherheitsverantwortung auf Vorstandsebene auf 31 Prozent – doch nur 25 Prozent der britischen Firmen haben einen formellen Notfallplan für Sicherheitsvorfälle. Das ist besonders besorgniserregend, weil Angreifer zunehmend KI nutzen, um Phishing-Nachrichten zu personalisieren und Schwachstellen schneller auszunutzen.

Ein Bericht von Proofpoint vom 28. April 2026 unterstreicht das Problem: Fast 94 Prozent der Organisationen kämpfen mit der Komplexität von KI-Risiken. Mehr als die Hälfte aller globalen Unternehmen erlebte bereits einen KI-bezogenen Sicherheitsvorfall – trotz bestehender Schutzmaßnahmen. Angreifer setzen KI offenbar ein, um Spionagekampagnen mit minimalem menschlichem Eingriff zu orchestrerien.

Behörden schlagen Alarm

Die zunehmenden Angriffe haben die US-Behörden zum Handeln gezwungen. Am 28. April 2026 nahm die Cybersecurity and Infrastructure Security Agency (CISA) zwei kritische Schwachstellen in ihren Katalog bekannter ausgenutzter Sicherheitslücken auf: CVE-2026-32202, einen Fehler im Microsoft Windows-Schutzmechanismus, und CVE-2024-1708, eine Schwachstelle in ConnectWise ScreenConnect. Beide Lücken werden häufig genutzt, um die Erstinfektion mit Session-Hijacking-Malware durchzuführen.

Microsoft reagierte ebenfalls: Ab Juli 2026 wird Exchange Online die veralteten TLS-Protokolle 1.0 und 1.1 für POP- und IMAP-Verkehr blockieren. Ziel ist es, sicherere Authentifizierungsmethoden durchzusetzen, die weniger anfällig für serverseitige Entschlüsselung und Token-Diebstahl sind.

Experten raten Unternehmen und Verbrauchern gleichermaßen zu „Device-Trust"-Modellen und Offline-Wiederherstellungsstrategien. Das Auftreten von Datenlöschern, die sich als Erpressungssoftware tarnen – wie der Ende April 2026 gemeldete Schädling „VECT 2.0" – unterstreicht die Notwendigkeit robuster, von der Cloud getrennter Backups. VECT 2.0 zerstört Dateien über 131 Kilobyte unwiderruflich – selbst nach Zahlung eines Lösegelds ist eine Wiederherstellung unmöglich.

Ausblick: Der Kampf um die Sitzung

Die erste Hälfte des Jahres 2026 markiert einen Wendepunkt: Die Angriffe verlagern sich zunehmend auf die Phase nach der erfolgreichen Authentifizierung. Das MaaS-Modell senkt die Einstiegshürde für Nachwuchskriminelle, während professionelle Verschleierungstechniken erfahrenen Tätern lange unentdeckte Operationen ermöglichen.

Da mobile Bankgeschäfte weiter zunehmen, erwarten Sicherheitsexperten eine weitere Verfeinerung der „Ghost Tap"- und NFC-Relay-Taktiken. Das Schlachtfeld des Jahres 2026 wird nicht mehr durch die Stärke des ersten Logins definiert, sondern durch die Fähigkeit der Finanzinstitute, anomales Verhalten innerhalb einer legitimen Benutzersitzung zu erkennen. Ohne eine deutliche Zunahme formeller Notfallpläne und einer Echtzeit-Überwachung von Zugänglichkeitsdiensten droht der finanzielle Schaden durch On-Device-Fraud bis Jahresende Rekordhöhen zu erreichen.

de | wissenschaft | 69269712 |