Smartphone-Sicherheit: Banking-Trojaner springen um 196 Prozent

Allein im ersten Quartal 2026 legten Banking-Trojaner um 196 Prozent zu – auf rund 1,24 Millionen dokumentierte Fälle. Der globale Gesamtschaden durch mobile Cyberkriminalität? Rund 442 Milliarden Euro.

Im Fokus der Angreifer steht vor allem Android. Das Betriebssystem ist aufgrund seiner Marktverbreitung und technischer Schwachstellen das Hauptziel großangelegter Kampagnen.

Banking, PayPal und WhatsApp auf dem Smartphone sind bequem, aber ohne die richtigen Vorkehrungen ein leichtes Ziel für Hacker. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

KI-Phishing wird zur Massenwaffe

86 Prozent aller Phishing-Angriffe basieren inzwischen auf künstlicher Intelligenz. Die Folge: Angreifer verbreiten täglich rund 3,4 Milliarden täuschend echte Schadnachrichten. Besonders betroffen sind mobile Kanäle wie SMS (Smishing) und Messenger-Dienste.

Die Klickraten bei Smishing liegen neunmal höher als bei klassischen E-Mail-Angriffen. In den letzten vier Jahren wuchs dieser Bereich um 300 Prozent.

Innerhalb des Android-Ökosystems hat sich der Mamont-Trojaner zur größten Einzelbedrohung entwickelt. Er ist für rund 70 Prozent aller registrierten Angriffe auf Android-Geräte verantwortlich.

Parallel dazu entdeckten Sicherheitsforscher die Trapdoor-Kampagne. 455 scheinbar legitime Android-Apps verbreiteten Schadsoftware, erzielten rund 24 Millionen Downloads und generierten täglich bis zu 480 Millionen betrügerische Aktionen.

Quishing: Die neue Gefahr im Posteingang

Eine besonders raffinierte Methode heißt „Quishing“ – Phishing per QR-Code. Die Fallzahlen stiegen um 150 Prozent auf rund 18 Millionen Fälle weltweit.

Die Täter nutzen QR-Codes aus ASCII- oder Unicode-Textzeichen. Diese umgehen E-Mail-Sicherheitsfilter, weil die Schadhaftigkeit erst bei der Darstellung auf dem Endgerät sichtbar wird. Ziel ist oft der Diebstahl von Zugangsdaten für Unternehmensnetzwerke oder Finanzdienstleister.

Noch kritischer: eine nicht patchbare Lücke im Qualcomm BootROM (CVE-2026-25262). Der Fehler liegt im unveränderlichen Speicherbereich des Chips – ein Software-Update hilft nicht. Auch im Linux-Kernel wurde mit CVE-2026-31635 (DirtyDecrypt) eine kritische Schwachstelle gemeldet. Hinzu kommen Zero-Click-Lücken in WhatsApp (CVE-2025-43300, CVE-2025-55177).

Android 17: Google zieht die Sicherheitsschrauben an

Google reagiert auf die Bedrohungslage mit Android 17 (Codename „Cinnamon Bun“). Der Release ist für den Sommer 2026 geplant. Zu den wichtigsten Neuerungen zählen „Remote Lock“ und „Detection Lock“. Letzteres erkennt anhand von Sensordaten, wenn jemand das Gerät plötzlich entreißt, und sperrt den Bildschirm sofort.

Auch das Sideloading wird erschwert. Ab der Play-Services-Version 25.41.30 müssen Nutzer bei der Installation von Apps aus Drittquellen mit einer 24-stündigen Wartezeit und einem obligatorischen Neustart rechnen. Zudem ist die Eingabe biometrischer Daten oder einer PIN erforderlich.

Kritiker bemängeln, dass diese Maßnahmen Android-Varianten wie GrapheneOS oder LineageOS erschweren könnten. Auch der Zugriff auf Barrierefreiheits-APIs wird in bestimmten Sicherheitsszenarien blockiert.

Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre persönlichen Daten abgesehen haben. In diesem gratis PDF-Report erfahren Sie, wie Sie Android-Updates richtig nutzen, um gefährliche Sicherheitslücken sofort zu schließen. Kostenlosen Update-Ratgeber herunterladen

Regulierung und Strafverfolgung ziehen nach

Im Mai 2026 verabschiedete Deutschland das Digital-Identitäts-Gesetz. Es bildet die Grundlage für die EUDI-Wallet, die ab dem 2. Januar 2027 zur Pflicht wird. Ab dem 19. Juni 2026 tritt zudem eine Pflicht zum Widerrufsbutton für Onlineshops in Kraft.

Ein bedeutender Schlag gelang Interpol mit der Operation FRONTIER+ III. Mehr als 3.000 Festnahmen und eingefrorene Vermögenswerte in Höhe von 752 Millionen US-Dollar sind die Bilanz.

Die BaFin warnt weiterhin vor Phishing-Seiten, die Krypto-Plattformen wie Uniswap imitieren. In einem wegweisenden Urteil stellte das OLG Hamm zudem fest: Unternehmen haften für Fehler oder „Halluzinationen“ ihrer KI-basierten Chatbots.

Der Faktor Mensch bleibt die größte Schwachstelle

Trotz technischer Innovationen – weltweit sind bereits rund 5 Milliarden biometrische Passkeys im Einsatz – bleiben einfache Betrugsmaschen erfolgreich. Experten raten dringend zur Mehr-Faktor-Authentifizierung (MFA) und zur Nutzung von Hardware-Sicherheitsschlüsseln.

Da Banking-Trojaner oft über manipulierte Google-Anzeigen oder gefälschte Bank-E-Mails verbreitet werden, gilt: Bei sensiblen Diensten URLs manuell eingeben oder Lesezeichen nutzen – statt Suchmaschinenergebnisse zu klicken.

Ausblick: Was bringt das zweite Halbjahr 2026?

Der Release von Android 17 im Sommer wird zeigen, ob die neuen Diebstahlschutz-Funktionen die Schadenssummen senken können. Gleichzeitig verschärft sich die Bdete um die Offenheit von Android.

Auf regulatorischer Ebene prägt die Vorbereitung auf die EUDI-Wallet-Pflicht 2027 die technologische Infrastruktur in Europa. Die Grenze zwischen Betriebssystem-Sicherheit und staatlicher Identitätsverwaltung verschwimmt zunehmend.

de | wissenschaft | 69425009 |