Android-Sicherheit: 250 gefälschte Apps kapern Mobilfunkrechnungen

Cyberkriminelle setzen auf automatisierte Abo-Fallen, NFC-Angriffe und erstmals KI-generierte Zero-Day-Exploits. Der wirtschaftliche Schaden erreicht neue Rekordhöhen.

Banking, WhatsApp und Online-Shopping machen das Smartphone zum Hauptziel für Kriminelle. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker und Viren absichern. 5 Schutzmaßnahmen für Ihr Android-Smartphone jetzt kostenlos sichern

250 gefälschte Apps kapern Mobilfunkrechnungen

Sicherheitsforscher von Zimperium haben eine groß angelegte Kampagne aufgedeckt. Rund 250 gefälschte Apps tarnen sich als TikTok, Minecraft, GTA oder Facebook Messenger. Sie werden nicht über den Google Play Store verbreitet, sondern über Drittanbieter-Quellen und Phishing-Seiten.

Der Mechanismus ist hochgradig automatisiert. Nach der Installation nutzt die Malware JavaScript-Injection und WebView-Automation, um scheinbare Nutzerinteraktionen zu simulieren. Ziel ist der Missbrauch des Carrier-Billings – Einkäufe werden direkt über die Mobilfunkrechnung abgerechnet. Die Schadsoftware fängt Einmalpasswörter (OTP) ab, die per SMS zur Verifizierung verschickt werden. Die Opfer bemerken den Betrug oft erst mit der monatlichen Rechnung.

Die geografische Verteilung zeigt einen klaren Schwerpunkt: Malaysia ist mit rund 85 Prozent der Fälle am stärksten betroffen. Weitere Schwerpunkte liegen in Thailand, Rumänien und Kroatien. Insgesamt sind über zehn große Mobilfunknetzbetreiber involviert, darunter DiGi, Maxis und AIS sowie internationale Konzerne wie Orange und Vodafone. Google verweist darauf, dass Play Protect vor diesen Bedrohungen schützt – sofern die Funktion aktiviert ist.

NFC-Angriffe steigen um 188 Prozent

Parallel zum Abo-Betrug eskalieren Angriffe auf die Nahfeldkommunikation (NFC). Kaspersky meldet für Januar bis April 2026 einen Anstieg um 188 Prozent im Vergleich zum Vorjahreszeitraum. Insgesamt blockierten die Sicherheitssysteme über 35.600 solcher Angriffe.

Kriminelle nutzen zwei Varianten: Beim direkten NFC-Angriff fungiert die Malware als Finanz-App und liest Daten von einer physischen Karte aus, sobald diese auf das infizierte Smartphone gelegt wird. Beim „Reverse NFC“-Verfahren generiert die Malware selbst ein Signal, das an Geldautomaten oder Bezahlterminals Transaktionen auslöst.

Besonders besorgniserregend: Die Google Threat Intelligence Group dokumentierte den ersten Fall eines KI-generierten Zero-Day-Exploits. Eine KI identifizierte eine Logiklücke in einem Server-Administrations-Tool und erstellte ein Python-Skript, das die Zwei-Faktor-Authentifizierung (2FA) umgehen konnte. Parallel verbreitet sich die Malware-Familie PROMPTSPY, die auf das Ausspähen von PIN-Eingaben spezialisiert ist.

Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle und automatisierte Malware. Erfahren Sie in diesem Gratis-Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Smartphone dauerhaft schützen. Kostenlosen Update-Ratgeber für Android herunterladen

Der wirtschaftliche Gesamtschaden durch mobile Cyberkriminalität wird für 2026 auf rund 442 Milliarden Euro geschätzt. Banking-Trojaner verzeichneten im ersten Quartal ein Wachstum von 196 Prozent – der Mamont-Trojaner ist für rund 70 Prozent aller Android-Angriffe verantwortlich. Auch Quishing-Fälle – Betrug über manipulierte QR-Codes – steigen sprunghaft an.

Samsungs Support-Ende trifft Millionen Geräte

Ein wesentlicher Faktor für die Verwundbarkeit bleibt die Fragmentierung der Software-Versionen. Im Mai 2026 stellte Samsung den Software-Support für mehrere weit verbreitete Modelle ein. Die Geräte Galaxy A13, Galaxy A23 LTE und M33 5G erhalten keine Sicherheitspatches mehr. Der letzte Patch schloss zwar noch 39 Sicherheitslücken, darunter zwei kritische – doch künftig bleiben diese Geräte gegen neu entdeckte Exploits ungeschützt.

Experten warnen: Viele Banking-Apps setzen ein aktuelles Sicherheitsniveau voraus und könnten auf ungepatchten Geräten den Dienst verweigern. Hinzu kommen fundamentale Hardware-Schwachstellen. Eine Lücke im BootROM von Qualcomm-Chipsätzen (CVE-2026-25262) lässt sich laut Analysten nicht durch Software-Updates schließen und bietet eine dauerhafte Angriffsfläche.

In Europa wird die Situation durch regulatorische Verzögerungen verschärft. Während der EU AI Act ab August 2026 eine Kennzeichnungspflicht für KI-generierte Inhalte vorschreibt, zeigt die Umsetzung der NIS2-Richtlinie erhebliche Lücken. Von rund 29.500 betroffenen Unternehmen in Deutschland haben nur etwa 11.000 die geforderten Meldefristen erfüllt.

BGH-Urteil stärkt DSGVO-Schadensersatzansprüche

Die Professionalisierung der Cyberkriminalität führt auch zu mehr rechtlichen Auseinandersetzungen. Ein richtungsweisendes Urteil des Bundesgerichtshofs (BGH) sowie Folgeentscheidungen von Amtsgerichten im Jahr 2025 stellten klar: Betroffene können unter bestimmten Voraussetzungen Schadensersatz nach der DSGVO fordern. In einem Fall wurden 500 Euro zugesprochen, nachdem eine unrechtmäßige Meldung an die SCHUFA zu einer Kreditverweigerung geführt hatte. Die weltweit verhängten DSGVO-Bußgelder belaufen sich laut aktuellen Auswertungen auf über sechs Milliarden Euro.

Eine aktuelle Betrugsmasche zielt auf Hotelgäste ab. Täter geben sich über WhatsApp als Hotelmitarbeiter aus und behaupten, es habe einen Fehler bei der Abbuchung gegeben. Über gefälschte Links werden die Opfer auf Phishing-Seiten geleitet, die das Online-Banking ihrer Hausbank imitieren. Die Betrugsversuche nutzen echte Buchungsdaten aus früheren Datenlecks – das erhöht die Glaubwürdigkeit massiv.

Wettrüsten ohne Ende

Für die zweite Jahreshälfte 2026 erwarten Sicherheitsexperten eine weitere Eskalation. Während Apple für iOS 27 verstärkt auf KI-gestützte Bildverarbeitung und neue Schutzmechanismen setzt, muss sich das Android-Ökosystem vor allem der Herausforderung der Carrier-Billing-Absicherung stellen. Die Mobilfunkbetreiber müssen ihre Verifizierungsprozesse grundlegend überarbeiten, um das Abfangen von OTP-Nachrichten wirkungslos zu machen.

Forscher des MIT untersuchen das Potenzial von LiDAR-Sensoren für die „Nicht-Sichtlinien-Bildgebung“ – das könnte langfristig neue Ansätze zur physischen Absicherung von Geräten bieten. Kurzfristig bleibt die Sensibilisierung der Nutzer der wichtigste Schutzfaktor. Experten raten: Apps ausschließlich aus vertrauenswürdigen Quellen beziehen, Berechtigungen kritisch prüfen und bei verdächtigen Nachrichten stets den direkten Kontakt über offizielle Kanäle suchen.

Die Entwicklung zeigt: Sicherheit mobiler Endgeräte ist 2026 weniger eine Frage einzelner Patches als eine kontinuierliche Aufgabe für Nutzer, Hersteller und Regulierungsbehörden.

de | wissenschaft | 69421105 |