Mobile Cyberkriminalität erreicht neue Dimension: 21 Milliarden Dollar Schaden

Sicherheitsforscher schlagen Alarm: Die Bedrohung durch mobile Schadsoftware hat im ersten Halbjahr 2026 eine neue Qualitätsstufe erreicht. Besonders im Visier: Nutzer von Finanz-Apps und Messenger-Diensten.

Branchenschätzungen zufolge belaufen sich die Schäden durch mobile Angriffe weltweit bereits auf rund 21 Milliarden US-Dollar. Im Zentrum der Warnungen stehen neue Banking-Trojaner wie TCLBANKER und die wachsende Gefahr durch manipulierten QR-Code-Betrug – das sogenannte Quishing.

Banking, WhatsApp und PayPal auf dem Smartphone bieten Angreifern enorme Angriffsflächen für Finanzschäden. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Gerät effektiv vor Hackern und Viren zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

TCLBANKER: Trojaner mit Wurm-Funktion

Ein besonders aggressiver Akteur ist der Banking-Trojaner TCLBANKER, von Experten auch als REF3076 geführt. Die Schadsoftware verbreitet sich gezielt über WhatsApp-Web und Microsoft Outlook. Eine integrierte Wurm-Komponente namens SORVEPOTEL befähigt die Malware, sich eigenständig über Kontaktlisten infizierter Konten weiterzuverbreiten.

Das primäre Ziel: Zugangsdaten für 59 verschiedene Finanzanwendungen – von klassischen Banking-Apps über Fintech-Plattformen bis zu Kryptobörsen. Technisch nutzt der Trojaner die Android Accessibility Services für Overlay-Angriffe. Dabei legt er über die legitime Login-Maske der Bank eine täuschend echte Kopie, die Eingaben direkt an die Angreifer übermittelt.

Die Software kann sogar Zwei-Faktor-Authentifizierungen (2FA) umgehen, indem sie SMS-Codes abfängt oder Systembenachrichtigungen manipuliert.

Die Infektion erfolgt meist über Social Engineering. Vermehrt wurden Fälle registriert, bei denen Nutzer zum Herunterladen manipulierter MSI-Installer bewegt wurden – getarnt etwa als KI-Werkzeuge wie der „Logi AI Prompt Builder“. Die Malware setzt auf komplexe Anti-Analyse-Funktionen wie umgebungsabhängige Verschlüsselung und Watchdog-Mechanismen. Als Infrastruktur nutzen die Hintermänner zunehmend Dienste wie Cloudflare Workers.

CloudZ RAT: Angriff über die Desktop-Schnittstelle

Neben direkten Smartphone-Angriffen rücken die Schnittstellen zwischen Mobiltelefonen und Desktop-PCs in den Fokus. Der erst Anfang des Jahres identifizierte CloudZ RAT (Remote Access Trojaner) nutzt eine Schwachstelle in Microsoft Phone Link. Ein spezielles Plugin namens „Pheno“ erkennt aktive Sitzungen zwischen Windows-PC und Smartphone.

Ziel der Kampagne: Zugriff auf die lokale SQLite-Datenbank der Phone-Link-App, in der SMS-Nachrichten zwischengespeichert werden. So können Angreifer Einmalpasswörter für Banktransaktionen direkt am PC mitlesen – ohne physischen Zugriff auf das Mobiltelefon.

Parallel dazu verzeichnen Marktbeobachter einen dramatischen Anstieg beim QR-Code-Phishing. Im ersten Quartal 2026 stieg die Zahl der Quishing-Vorfälle weltweit um 146 Prozent auf 18,7 Millionen registrierte Fälle. Besonders tückisch: gefälschte QR-Codes an öffentlichen Plätzen, etwa auf Parkautomaten oder in Gastronomiebetrieben.

In einem dokumentierten Fall aus Köln verlor eine Nutzerin einen dreistelligen Betrag, nachdem sie eine vermeintliche Park-App über einen manipulierten Code in Kopenhagen installiert hatte. Der Schaden wurde erst Wochen später auf den Kontoauszügen sichtbar.

SMS-Blaster und KI-gestützte Täuschung

Eine weitere Eskalationsstufe: Hardware-Tools, die Mobilfunkmasten imitieren. Sogenannte SMS-Blaster oder „Stingrays“ ermöglichen es Angreifern, in einem Umkreis von bis zu zwei Kilometern massenhaft Phishing-Nachrichten direkt an Mobiltelefone zu senden – die Filtermechanismen der Netzbetreiber werden umgangen.

In Toronto führte eine großangelegte Untersuchung namens „Projekt Lighthouse“ im Frühjahr zur Festnahme von drei Verdächtigen, die für über 13 Millionen Netzwerkstörungen verantwortlich gemacht werden. Aus Paris wurden ähnliche Fälle gemeldet: Im März 2026 wurden sieben Personen verurteilt, nachdem schätzungsweise 3,7 Millionen Telefone von manipulierten SMS-Wellen betroffen waren.

Unter dem Namen „Operation Road Trap“ wurde zudem eine globale Kampagne bekannt, die gefälschte Verkehrsbußgelder per SMS verbreitet. Mit Künstlicher Intelligenz werden diese Nachrichten so authentisch formuliert, dass sie für Laien kaum noch als Betrug erkennbar sind.

Auch die Malware-Entwicklung nutzt zunehmend KI: Mit „PromptSpy“ wurde die erste Android-Malware entdeckt, die Schnittstellen von Googles Gemini nutzt, um Angriffe zu automatisieren oder Daten effizienter auszuwerten.

Finanzinstitute wie die vietnamesische VPBank warnen zudem vor KI-generierten Sprachklonen und Caller ID Spoofing. Betrüger imitieren die Stimmen von Bankmitarbeitern oder Behördenvertretern, um Kunden zur Preisgabe sensibler Informationen zu bewegen. Der Schaden durch solche Identitätstäuschungen belief sich laut Schätzungen der FTC im vergangenen Jahr auf rund 3,5 Milliarden US-Dollar.

Urteil: Bank muss Phishing-Schaden erstatten

Angesichts der steigenden Professionalität der Angriffe rückt die Haftungsfrage in den juristischen Fokus. Ein wegweisendes Urteil des Landgerichts Berlin II vom 22. April 2026 sorgt für Aufsehen. Das Gericht entschied, dass die Apobank einem Kunden einen Phishing-Schaden von über 200.000 Euro erstatten muss.

Die Richter begründeten: Die Bank konnte nicht hinreichend nachweisen, dass der Kunde grob fahrlässig handelte. Die Betrugsmasche – in diesem Fall Quishing – war technisch so ausgereift, dass sie für den Durchschnittsnutzer nicht erkennbar war. Das Urteil könnte den Druck auf Finanzinstitute erhöhen, ihre Sicherheitssysteme massiv zu verstärken.

Gleichzeitig zeigen Studien: 73 Prozent der Deutschen waren im vergangenen Jahr Ziel eines Betrugsversuchs. Doch nur etwa jeder vierte Nutzer setzt konsequent eine Zwei-Faktor-Authentifizierung ein. Besonders die Generation Z ist mit 41 Prozent überproportional häufig von erfolgreichen Betrugsmaschen betroffen.

Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle und erleichtert Identitätsdiebstahl massiv. Experten verraten in diesem kostenlosen Report, wie Sie durch richtige Updates Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen

Android 17: Neue Schutzmechanismen in Sicht

Für die kommenden Monate wird eine weitere Verschärfung des Wettrüstens zwischen Cyberkriminellen und Sicherheitsanbietern erwartet. Google hat die Veröffentlichung von Android 17 für Juni 2026 angekündigt – mit verbesserten VPN-Tunnel-Sicherheiten und Schutz gegen Overlay-Angriffe.

Bereits jetzt reagieren Anbieter wie der Schweizer Cloud-Dienstleister bexio auf die Bedrohungslage: Die Zwei-Faktor-Authentifizierung wird für alle Nutzer verpflichtend, nachdem Angreifer IBAN-Daten auf Rechnungen manipuliert hatten.

Langfristig bereitet sich die IT-Sicherheitsbranche auf die Bedrohung durch Quantencomputer vor, die herkömmliche Verschlüsselungsverfahren wie RSA brechen könnten. Das BSI empfiehlt die umstellung auf Post-Quanten-Kryptografie bis 2031. Erste Messenger-Dienste wie WhatsApp und Signal haben bereits begonnen, quantenresistente Schlüsselaustausch-Protokolle zu integrieren.

Bis diese Technologien flächendeckend greifen, raten Experten zu erhöhter Vorsicht: Links in SMS oder E-Mails grundsätzlich nicht ungeprüft öffnen, Apps ausschließlich aus offiziellen Quellen beziehen. Bei Betrugsverdacht: Konten sofort über den Notruf 116 116 sperren und Anzeige erstatten.

de | wissenschaft | 69302455 |