Smartphone-Angriffe verursachen 442 Milliarden Euro Schaden

Das treibt die Schadenssumme rasant in die Höhe.

Banking, PayPal und Online-Shopping – auf keinem Gerät sind unsere Finanzen so angreifbar wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen 5 sofort umsetzbare Schritte, um Ihr Android-Gerät effektiv vor Hackern und Viren zu schützen. 5 Schutzmaßnahmen für Android-Smartphones jetzt gratis sichern

Banking-Trojaner legen massiv zu

Banking-Trojaner sind derzeit die größte Bedrohung. Im ersten Quartal 2026 stieg die Zahl registrierter Fälle um 196 Prozent auf rund 1,24 Millionen. Sicherheitsforscher entdeckten allein im Google Play Store 28 manipulierte Apps. Eine davon namens CallPhantom wurde rund 7,3 Millionen Mal installiert.

Auch das sogenannte Quishing – Phishing über manipulierte QR-Codes – wird zur Massenbedrohung. Die Zahl der Vorfälle stieg um 150 Prozent auf 18 Millionen Fälle weltweit. Kriminelle nutzen das Vertrauen der Nutzer aus und platzieren die Codes in Restaurants, an Ladestationen oder in Briefen.

Ein aktuelles Beispiel: Eine Kampagne gegen Nutzer von Krypto-Hardware-Wallets wie Ledger und Trezor. Die Opfer erhielten gefälschte Briefe mit offiziellen Logos und wurden aufgefordert, einen QR-Code zu scannen. Das führte auf präparierte Webseiten, die die sensiblen Wiederherstellungsphrasen abgriffen.

Die Verbreitung von Malware über offizielle Kanäle bleibt eine Herausforderung. Im Apple App Store wurde die Schadsoftware SparkCat entdeckt, die gezielt auf Kryptoguthaben zugreift. Unter Android sorgt der KI-gesteuerte Schädling PromptSpy für Unruhe.

Apple und Google liefern sich Wettrüsten mit Hackern

Apple veröffentlichte am 11. Mai iOS 26.5 – ein Update, das über 60 Sicherheitslücken schließt. Mehr als zehn Schwachstellen betrafen die Browser-Engine WebKit. Das Update wiegt rund 8,73 Gigabyte und soll aktive Angriffswellen durch die Gruppen Coruna und DarkSword eindämmen.

Google integriert in Android 17 eine Funktion namens Theft Detection Lock. Apple arbeitet mit Telekom, O2 und 1&1 an einer Ende-zu-Ende-Verschlüsselung für den RCS-Standard. Die Basis bildet das MLS-Protokoll, das sich derzeit in der Beta-Phase befindet.

Doch trotz aller Fortschritte bleiben Lücken bestehen. Ein Fehler in der Kalender-Suche von iOS ist seit September 2025 ungelöst – Schätzungen zufolge sind 77 Prozent der Nutzer betroffen. Das aktuelle iPhone 17 kämpfte zudem mit Überhitzungsproblemen, die erst durch iOS 26.5 adressiert wurden.

Viele iPhone-Nutzer übersehen nach einem System-Update kritische Einstellungen, die ihre Privatsphäre gefährden können. Apple-Experte Detlef Meyer erklärt in diesem kostenlosen Leitfaden, wie Sie iOS-Updates stressfrei installieren und Ihre Daten mit wenigen Klicks absichern. Gratis PDF-Ratgeber: iOS-Updates sicher installieren

KI macht Social Engineering gefährlicher

25 Prozent der Bevölkerung kennen inzwischen Opfer von KI-gestützten Betrugsanrufen. Das Bundeskriminalamt verzeichnete bereits 2024 rund 6.600 Fälle sogenannter Schockanrufe. Täter nutzen Sprachfetzen aus sozialen Medien, um täuschend echte Kopien von Angehörigen zu erstellen und finanzielle Notlagen vorzutäuschen.

In Taiwan warnte die Polizei vor einer Masche mit dem Code „21“. Opfer werden dazu verleitet, eine bestimmte Tastenkombination einzugeben. Das aktiviert eine Rufumleitung – die Angreifer haben dann die Kontrolle über eingehende Anrufe und damit über Einmalpasswörter fürs Online-Banking.

Ein Fall aus Neu-Taipeh zeigt die Drastik: Ein Büroangestellter verlor innerhalb von 48 Stunden umgerechnet über 100.000 US-Dollar. Die Täter hatten seine Kreditkarten geplündert und sogar Aktiendepots aufgelöst.

Auch die Infrastruktur großer Tech-Konzerne wird für Phishing missbraucht. Angreifer nutzen die Recovery-Funktion von Google-Konten, um legitime Sicherheitswarnungen auszulösen. Das Ziel sind oft Zugänge zu Kryptobörsen. Binance gab an, im ersten Quartal 2026 rund 22,9 Millionen Phishing-Versuche blockiert zu haben – ein Anstieg um 54 Prozent.

Polen setzt bei Beamten auf Eigenentwicklungen

Die polnische Regierung riet ihren Beamten und Militärangehörigen, den Messenger Signal durch intern entwickelte Anwendungen wie mSzyfr oder SKR-Z zu ersetzen. Hintergrund sind gezielte Phishing-Angriffe durch APT-Gruppen. Die Verschlüsselung von Signal konnten sie zwar nicht knacken – aber über Social-Engineering-Tricks und gefälschte Support-Anfragen waren sie erfolgreich.

In der Privatwirtschaft gewinnen passwortlose Anmeldeverfahren an Bedeutung. Weltweit sind rund 5 Milliarden Passkeys im Einsatz. 60 Prozent der Fintech-Unternehmen nutzen diese Technologie bereits. Die FIDO Alliance arbeitet am CXP-Protokoll, um die Interoperabilität zwischen verschiedenen Ökosystemen zu verbessern.

Ein Urteil des Landgerichts Berlin II stärkte die Position der Verbraucher: Banken müssen in bestimmten Fällen von Phishing für die entstandenen Schäden haften. Das könnte den Druck auf Finanzinstitute erhöhen, in sicherere Authentifizierungsverfahren zu investieren.

Kriminelle setzen auf hybride Angriffe

Die Analyse der jüngsten Vorfälle zeigt: Kriminelle kombinieren technische Schwachstellen mit psychologischer Manipulation. Das Tycoon2FA-Phishing-Kit ist nach einer zwischenzeitlichen Zerschlagung in einer weiterentwickelten Version wieder aufgetaucht. Es nutzt Device-Code-Angriffe gegen Microsoft 365-Nutzer und umgeht die klassische Passwortabfrage.

Gleichzeitig nehmen Diebstähle von physischer Infrastruktur zu. In Leipzig testen Stadtwerke GPS-Tracker und Schnittschutzsysteme an Ladesäulen. Seit Mai 2024 wurden dort 28 Anzeigen erstattet – die Reparaturkosten pro Fall betragen bis zu 5.000 Euro.

WWDC im Juni: Apple stellt iOS 27 vor

Die Branche blickt auf die Worldwide Developers Conference vom 8. bis 12. Juni 2026. Apple wird dort voraussichtlich iOS 27 vorstellen, das im Herbst erscheinen soll. Kernpunkt ist eine grundlegend überarbeitete Siri-Schnittstelle auf KI-Basis. Apple kooperiert hierfür mit Google und integriert dessen Gemini-Technologie – für rund eine Milliarde US-Dollar jährlich.

Apple positioniert den Datenschutz als zentrales Verkaufsargument. Chats mit der KI sollen nach 30 Tagen oder einem Jahr automatisch gelöscht werden. Ein Privat-Modus ohne Verlaufsdaten ist geplant. Das Training der KI soll nicht mit echten Nutzerdaten, sondern mit synthetischen Datensätzen erfolgen.

Dieser Fokus ist auch eine Reaktion auf rechtliche Auseinandersetzungen: Apple musste kürzlich rund 250 Millionen US-Dollar an US-Nutzer zahlen, weil frühere Versprechen zur KI-Funktionalität nicht eingehalten worden waren.

de | wissenschaft | 69372293 |