Quishing-Angriffe explodieren: 146 Prozent mehr QR-Code-Betrug

Besonders „Quishing“ – Phishing über manipulierte QR-Codes – verzeichnete einen drastischen Anstieg. Sicherheitsbehörden warnen vor zunehmender Professionalisierung der Angreifer, die verstärkt auf KI und Chip-Lücken setzen.

Quishing-Welle rollt über Nutzer hinweg

Banking, PayPal und WhatsApp auf dem Smartphone sind bequem, machen das Gerät aber auch zum Hauptziel für Cyberkriminelle. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Allein im März registrierte Microsoft rund 18,7 Millionen Quishing-Bedrohungen. Zum Vergleich: Im Januar lag die Zahl noch bei 7,6 Millionen. Insgesamt identifizierten Sicherheitslösungen im ersten Quartal etwa acht Milliarden Phishing-Drohungen via E-Mail – ein signifikanter Teil gezielt auf Mobilgeräte ausgerichtet.

Experten betonen: Rund 80 Prozent aller identifizierten Phishing-Webseiten sind speziell für Smartphones optimiert. Die Angreifer nutzen oft die Unbefangenheit der Nutzer gegenüber QR-Codes aus.

Aktuelle Kampagnen missbrauchen etwa den Markennamen Amazon. Kunden erhalten gefälschte Benachrichtigungen zur Aktualisierung ihrer Zahlungsmethoden. Ziel: Kreditkartendaten und Log-in-Informationen stehlen. Auch Steuerbehörden wie das indische Income Tax Department werden imitiert.

Die SilverFox-Gruppe wurde als aktiver Akteur identifiziert. Sie installiert über manipulierte Steuer-E-Mails Backdoors auf den Geräten der Opfer.

Malware trotz App-Store-Kontrollen

Trotz strenger Prüfungen schaffen es Angreifer immer wieder in offizielle Plattformen. Die „CallPhantom“-Kampagne platzierte 28 betrügerische Apps im Google Play Store. Sie versprachen Zugriff auf Anrufprotokolle anderer Nutzer – lieferten nach Zahlung von bis zu 80 Dollar aber nur generierte Fake-Daten.

Bis zur Entfernung im Dezember 2025 verzeichneten diese Apps über 7,3 Millionen Downloads. Ähnlich besorgniserregend: Die „Mandrake“-Spyware blieb über zwei Jahre unentdeckt in verschiedenen Anwendungen aktiv.

Auch Hardware-Schwachstellen rücken in den Fokus. Die indische Behörde CERT-In warnte vor kritischen Lücken in Qualcomm Snapdragon-Prozessoren. Betroffen sind die Serien 4, 6, 7 und 8 sowie der Snapdragon 888 – weite Teile der aktuellen Smartphone-Flotte.

Die Lücken ermöglichen Remote-Zugriff auf Geräte und die Ausführung von Schadcode. In China warnte das Staatsministerium für Staatssicherheit zudem vor Bootloader-Sicherheitslücken, die eine vollständige Geräteübernahme ermöglichen.

KI-gestützte Angriffe auf dem Vormarsch

Ein veraltetes Betriebssystem oder ignorierte Updates wirken wie eine offene Einladung für moderne KI-Malware. Erfahren Sie in diesem kostenlosen PDF-Report, wie Sie Sicherheitslücken schließen und Ihr Android-Gerät durch die richtige Update-Strategie dauerhaft absichern. Kostenlosen Update-Ratgeber jetzt herunterladen

Ein technologischer Wendepunkt: „PromptSpy“ – die erste bekannte Android-Malware, die Googles KI-Modell Gemini nutzt. Sie steuert Bildschirmaufzeichnungen und entwendet Daten vom Sperrbildschirm.

Auch KI-gestützte Betrugsanrufe nehmen zu. Durch Sprachklon-Tools reichen oft weniger als drei Sekunden Audiomaterial aus, um Stimmen täuschend echt zu imitieren. Die US-Handelsbehörde FTC bezifferte die Schäden durch solche Identitätstäuschungen für 2025 auf rund 3,5 Milliarden Dollar.

Gericht stärkt Rechte von Phishing-Opfern

Ein wegweisendes Urteil des Landgerichts Berlin II vom April 2026 gibt Verbrauchern Rückenwind. Die Apobank muss einem Phishing-Opfer über 200.000 Euro zurückzahlen. Das Gericht stellte fest: Die Bank hätte den Betrug erkennen müssen – die IP-Adressen beim Log-in und der Geräteregistrierung unterschieden sich deutlich.

Eine grobe Fahrlässigkeit des Kunden wurde verneint. Die Täter hatten eine hochkomplexe Kombination aus gefälschten Briefen, manipulierten Webseiten und Telefon-Spoofing eingesetzt.

Gleichzeitig erhöhen Aufsichtsbehörden den Druck auf Unternehmen. In Kalifornien verhängte man gegen General Motors eine Strafe von 12,75 Millionen Dollar. Der Autobauer soll über Jahre Fahrerdaten ohne ausreichende Einwilligung verkauft haben.

Die FCC reagiert auf die Flut illegaler Anrufe. Ein Ende April verabschiedeter Vorschlag sieht vor: Kunden müssen vor der Aktivierung neuer Telefonnummern eine strikte Identitätsverifikation durchlaufen. Datenschützer kritisieren das – es gefährde die Anonymität von Prepaid-Diensten.

Android 17: Neue Schutzmauern gegen Angreifer

Google plant für Juni 2026 die Veröffentlichung von Android 17 mit mehreren neuen Sicherheitsstandards. Eine wesentliche Neuerung: die sitzungsbasierte Kontaktauswahl. Apps erhalten keinen pauschalen Zugriff mehr auf das gesamte Adressbuch.

Die neue Berechtigung „ACCESS_LOCAL_NETWORK“ verhindert unbefugte Netzwerk-Scans und damit das Fingerprinting von Geräten. Besonders relevant für Bankkonten: eine geplante Drei-Stunden-Verzögerung für den Lesezugriff auf SMS-Einmalpasswörter durch Drittanbieter-Apps.

Bereits seit dem 1. Mai setzt Google auf erweiterte „Binary Transparency“. Das System nutzt ein öffentliches, kryptografisches Log für alle Play-Store-Apps und Betriebssystem-Komponenten. Unabhängige Tester können so die Integrität von App-Signaturen verifizieren und Supply-Chain-Angriffe frühzeitig aufdecken.

Trotz dieser Fortschritte bleibt die Sicherheit dynamisch. Eine aktuelle Omdia-Studie kürte das Google Pixel 10 Pro zum sichersten Smartphone 2025 – wies aber darauf hin: Der Schutz vor Phishing und Social Engineering bleibt über alle Hersteller hinweg die größte Schwachstelle.

Experten raten dringend zur Mehr-Faktor-Authentisierung, vorzugsweise über Passkeys. Und zur kritischen Prüfung von QR-Codes sowie unaufgeforderten Nachrichten über Messenger wie WhatsApp – dort verbreitet sich derzeit der Trojaner „TCLBANKER“.

de | wissenschaft | 69299562 |