Mobile Banking-Trojaner: Infektionen springen um 196 Prozent

Gefälschte Installer für ChatGPT, Claude und Microsoft Teams überschwemmen das Netz. Gleichzeitig explodieren mobile Banking-Trojaner mit einem Plus von 196 Prozent.

Gefälschte KI-Tools als Einfallstor

Sicherheitsforscher schlagen Alarm. Eine großangelegte Malware-Kampagne nutzt das Interesse an KI-Tools wie ChatGPT und Claude aus. Angreifer verteilen gefälschte Installer über GitHub und SourceForge – mit Namen wie „claude-free-plugin“ oder „ai-gen-profi“.

Angesichts der rasanten Zunahme von Schadsoftware auf mobilen Geräten ist ein gezielter Schutz für Ihr Smartphone unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Sicherheitsmaßnahmen, mit denen Sie Ihr Android-Gerät effektiv vor Hackern und Viren absichern. Kostenlosen Sicherheits-Ratgeber herunterladen

Die Täter steuern den Traffic über kompromittierte YouTube-Kanäle. Kanäle mit KI-Inhalten und teils über 50.000 Aufrufen locken Opfer auf bösartige Download-Seiten. Zielgruppe: Content Creator, Gamer und KI-Enthusiasten.

Die Schadsoftware heißt DinDoor. Sie installiert sich über MSI-Dateien oder PowerShell-Skripte und nutzt die Deno-Runtime. Einmal aktiv, fungiert DinDoor als Remote Access Trojaner (RAT). Laut Malwarebytes zielt die Malware auf über 50 Browser-Erweiterungen für Kryptowährungs-Wallets ab. Browserdaten, Screenshots und die Zwischenablage werden ausgespäht.

Microsoft Teams als Köder

Eine zweite Angriffsgruppe ist seit Februar 2026 aktiv. Das BlueVoyant SOC entdeckte SEO-Poisoning-Kampagnen, die manipulierte Installer für Microsoft Teams in den Suchergebnissen nach oben katapultieren.

Die Täter nutzen gültige Code-Signing-Zertifikate, die nur drei Tage gültig sind – das umgeht Sicherheitsmechanismen. Der „Lorem Ipsum“-Loader verschlüsselt die Kommunikation mit Kontrollservern über Bilddateien im JFIF-Format. Experten vermuten, dass LLMs die Entwicklung dieser komplexen Loader-Ketten auf nur zehn Wochen verkürzt haben.

Rekordzahlen bei mobilen Banking-Trojanern

Während Desktop-Nutzer unter Beschuss stehen, explodieren mobile Bedrohungen. Im ersten Quartal 2026 stiegen Infektionen mit Banking-Trojanern um 196 Prozent auf 1,24 Millionen Fälle.

Haupttreiber: die „Trapdoor“-Kampagne. Angreifer platzierten 455 Android-Apps im Google Play Store – getarnt als harmlose PDF-Reader. Die Apps wurden rund 24 Millionen Mal heruntergeladen, bevor sie aufflogen.

Phishing wird professioneller. 86 Prozent aller Phishing-Angriffe nutzen mittlerweile KI-Unterstützung. Die Gruppe „YY Lai Yu“ bietet über 400 Phishing-Vorlagen in 119 Ländern an. Spezialität: das Abfangen von Einmalpasswörtern in Echtzeit.

Microsoft-Infrastruktur als Phishing-Schleuder

Eine Schwachstelle in Microsofts E-Mail-Infrastruktur macht Schlagzeilen. Angreifer versenden Spam und Phishing über die offizielle Adresse noreply@microsoft.com. Die Nachrichten passieren SPF, DKIM und DMARC problemlos – viele Sicherheits-Gateways haben Microsoft auf der Whitelist.

Die Lücke liegt in einem Branding-Feld von Microsoft Entra ID Testumgebungen.

Erfolg gegen das Glassworm-Botnetz

CrowdStrike, Google und die Shadowserver Foundation zerschlugen das Glassworm-Botnetz. Das Netzwerk war seit Anfang 2025 aktiv und hatte es auf Softwareentwickler abgesehen. Über 300 GitHub-Repositories und zahlreiche VS-Code-Erweiterungen waren infiziert.

Die Ermittler kappten alle vier Kontrollkanäle gleichzeitig – darunter die Solana-Blockchain und Google Calendar.

Automatische Isolation infizierter Rechner

Microsoft reagiert mit neuen Schutzfunktionen. Defender for Endpoint bekommt die „Automatic Device Isolation“. Infizierte Rechner werden automatisch vom Unternehmensnetzwerk getrennt, behalten aber die Verbindung zum Sicherheitsdienst.

Der Hintergrund: 85 Prozent aller Cyberangriffe missbrauchen das Remote Desktop Protocol für laterale Bewegungen im Netzwerk.

Gemini Nano sorgt für Diskussionen

Google Chrome installiert das KI-Modell Gemini Nano lokal auf Endgeräten. Das 4 GB große Modell ermöglicht Schreibhilfen und Zusammenfassungen ohne externe Server. Datenschutzfreundlich – aber in Unternehmen umstritten. Compliance und Speicherplatzmanagement auf großen IT-Flotten sind ungeklärt.

Ransomware: Datendiebstahl statt Erpressung

Die Bedrohungslage verschärft sich. Ransomware-Vorfälle stiegen von 4.900 (2024) auf über 7.200 (2025). LLMs beschleunigen die Entwicklung von Schadcode. Die Qualität steigt, die Barrieren sinken.

Paradigmenwechsel: In 75 Prozent der Ransomware-Fälle steht Datendiebstahl im Vordergrund. Reine Lösegeldzahlungen sanken im Durchschnitt.

Die „Silent Ransom Group“ kombiniert Social Engineering mit technischer Raffinesse. Das FBI warnte Ende Mai vor einer Masche: Hacker geben sich als IT-Personal aus und überreden Mitarbeiter zur Installation von AnyDesk oder Zoho Assist. Wenn das scheitert, brechen einige Gruppen physisch in Büros ein.

Da herkömmliche Passwörter bei professionellen Hacker-Angriffen und Ransomware-Kampagnen oft die größte Schwachstelle darstellen, empfehlen Experten den Umstieg auf passwortlose Sicherheit. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys einrichten und Ihre Konten bei Amazon, Microsoft oder WhatsApp effektiv schützen. Passkey-Report jetzt gratis anfordern

Ausblick: Secure-Boot-Zertifikate laufen aus

Im Juni 2026 laufen ältere Secure-Boot-Zertifikate aus. IT-Abteilungen stehen vor administrativen Herausforderungen. Am 2. August tritt der EU AI Act in Kraft – verbindliche Regeln für KI-Systeme.

Experten empfehlen hardwarebasierte Authentifizierung wie FIDO2. Herkömmliche Einmalpasswörter fangen Angreifer in Echtzeit ab. Die Kombination aus automatisierter Netzwerksicherung, Patch-Disziplin und Mitarbeiter-Sensibilisierung bleibt die wichtigste Verteidigungslinie.

de | wissenschaft | 69428974 |