Hunderte Fake-Apps: Zehnmonatige Betrugswelle aufgedeckt

Sicherheitsforscher haben eine massive Cyberbetrugs-Kampagne enttarnt, die zehn Monate lang Hunderttausende Mobilnutzer abzockte.

Die als „Premium Deception" bekannte Operation setzte auf rund 250 getarnte Apps, die Nutzer in kostenpflichtige Abos lockten – ohne deren Wissen. Betroffen waren vor allem Anwender in Malaysia, Thailand, Rumänien und Kroatien. Doch die Methoden sind universell: Auch deutsche Nutzer sind durch ähnliche Schadsoftware gefährdet.

Banking, Apps und Online-Shopping machen das Leben leichter, doch ohne den richtigen Schutz riskieren Smartphone-Nutzer hohe finanzielle Schäden durch versteckte Abofallen und Datenklau. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Gerät sofort absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Wie die Täter die SMS-Falle stellten

Das Herzstück des Betrugs: Die Angreifer missbrauchten eine legitime Google-Entwicklerschnittstelle – den SMS Retriever API. Dieses Tool wurde ursprünglich entwickelt, um Telefonnummern automatisch zu verifizieren. Die Täter nutzten es, um Einmal-Passwörter (OTPs) abzufangen und damit kostenpflichtige Abos auf dem DiGi-Portal und anderen Plattformen zu aktivieren.

Über ein Netzwerk von Kommando-Servern (unter anderem modobomz[.]com und mwmze[.]com) steuerten die Angreifer zwölf verschiedene Premium-SMS-Kurzwahlen an. Die Kampagne lief von März 2025 bis Januar 2026 – und blieb so lange unentdeckt, weil die Apps sich als harmlose Dienstprogramme tarnten.

Parallel-Kampagne: 24 Millionen Downloads für Ad-Betrug

Doch „Premium Deception" war nicht allein. Zeitgleich operierte die Kampagne „Trapdoor" mit 455 gefälschten Apps. Sie tarnnten sich als PDF-Viewer oder Dateimanager und wurden insgesamt 24 Millionen Mal heruntergeladen.

Die Masche: Die Schadsoftware blieb inaktiv, bis sie erkannte, dass sie Teil einer bezahlten Werbekampagne war. Dann führte sie unsichtbare Werbeinteraktionen aus – über eine versteckte Zweit-App. Auf dem Höhepunkt generierte das System 659 Millionen betrügerische Gebotsanfragen pro Tag. Um der Entdeckung zu entgehen, nutzten die Entwickler Code-Verschleierung und VPN-Prüfungen.

Neue Bedrohung: NFC-Betrug per Banking-App

Eine weitere Gefahr kommt aus Europa und Lateinamerika: Die Schadsoftware „DevilNFC" und „NFCMultiPay" zielt direkt auf Bankkonten ab. Sie nutzt das NFCGate-Framework und sogenannte Xposed-Hooks, um Zahlungen abzufangen.

Der Angriff läuft so ab: Ein Phishing-Link per WhatsApp oder SMS lockt das Opfer zum Download einer gefälschten Banking-App. Sobald der Nutzer sein Handy an ein Bezahlterminal hält, sperrt die Malware den Bildschirm – und der Täter kann die PIN abgreifen und die Zahlung auf sein eigenes Terminal umleiten.

Sicherheitslücken statt gestohlener Passwörter

Die Welle mobiler Angriffe ist Teil eines grundlegenden Wandels: Laut dem Verizon Data Breach Investigations Report 2026 sind ausgenutzte Sicherheitslücken inzwischen die häufigste Einbruchsmethode – noch vor gestohlenen Zugangsdaten. 31 Prozent aller Sicherheitsverletzungen gehen auf Software-Fehler zurück, nur 13 Prozent auf geklaute Passwörter.

Erst im Mai 2026 musste Microsoft zwei kritische Zero-Day-Lücken in Microsoft Defender schließen. Die Schwachstellen CVE-2026-41091 (Eskalation von Benutzerrechten) und CVE-2026-45498 (Denial-of-Service) wurden bereits aktiv angegriffen. Die US-Behörde CISA ordnete an, die Updates bis zum 3. Juni zu installieren.

Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, da Hacker bekannte Sicherheitslücken gezielt für ihre Angriffe ausnutzen. Erfahren Sie in diesem kostenlosen PDF-Report, wie Sie Ihr Android-Gerät durch die richtigen Updates und Einstellungen dauerhaft vor Malware schützen. Kostenlosen Android-Sicherheits-Report herunterladen

Das Problem: Im Durchschnitt brauchen Unternehmen 43 Tage, um kritische Patches einzuspielen – genug Zeit für Angreifer, die Lücken zu missbrauchen. Ransomware tauchte in 48 Prozent aller dokumentierten Vorfälle auf. Der menschliche Faktor bleibt mit 62 Prozent der Fälle die größte Schwachstelle.

Das Ökosystem hat ein Sicherheitsproblem

Der Erfolg von Kampagnen wie „Premium Deception" zeigt: Die Prüfmechanismen der App-Stores reichen nicht. Angreifer umgehen sie mit zeitverzögerter Aktivierung und ausgefeilten Verschleierungsmethoden. Besonders perfide: Sie nutzen legitime Entwickler-Tools wie die SMS-API für ihre Zwecke.

Selbst etablierte Finanzdienstleister sind nicht immun. Plaid Inc., ein Dienst, der unter anderem Bankkonten für OpenAI's ChatGPT verknüpft, musste einen Datenvorfall eingestehen. Zwischen Dezember 2024 und April 2026 konnten durch einen technischen Fehler Namen, Adressen und Sozialversicherungsnummern von 294 Personen abfließen. Bank-Zugänge waren nicht betroffen – der Vorfall zeigt aber die Risiken komplexer Drittanbieter-Verknüpfungen.

KI als Gegenmittel – und als neue Gefahr

Die Sicherheitsbranche setzt zunehmend auf künstliche Intelligenz. Accenture investierte kürzlich in XBOW, ein Unternehmen für KI-gesteuerte Sicherheitstests. Ziel: Automatisierte Penetrationstests, die rund um die Uhr Anwendungen auf Schwachstellen prüfen.

Doch auch die Angreifer nutzen KI. Dienste wie „Phishing-as-a-Service" und Werkzeuge wie „EvilTokens" oder „Tycoon" machen es selbst wenig erfahrenen Kriminellen leicht, raffinierte Angriffe durchzuführen. Sicherheitsbehörden warnen speziell Microsoft-365-Nutzer vor diesen Methoden.

Der Ausblick für die zweite Jahreshälfte 2026: Unternehmen müssen ihre Patch-Prozesse beschleunigen und das Risikomanagement für Drittanbieter verschärfen. Denn die Zahl der Sicherheitsverletzungen über externe Partner ist um 60 Prozent gestiegen. Für Verbraucher gilt: Eine App, die SMS-Zugriff oder Hintergrunddatenverarbeitung verlangt, ist nicht automatisch vertrauenswürdig – auch wenn sie offiziell im Store gelistet ist.

de | wissenschaft | 69391153 |