Neue Malware-Welle: Gefälschte WhatsApp-Apps stehlen Bankdaten

Die Schadsoftware kapert Android-Geräte und zielt auf das mobile Banking ab.

Banking, PayPal und WhatsApp – auf keinem Gerät sind unsere persönlichen Daten so gefährdet wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Viren schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

„Cockroach Janta Party“: Trojaner tarnt sich als politische App

TraceX Labs hat eine gezielte Kampagne entdeckt. Angreifer verbreiten eine bösartige App namens „Cockroach Janta Party“ über WhatsApp und Telegram. Die APK-Datei ist ein Remote-Access-Trojaner (RAT) kombiniert mit Spyware.

Die Malware fängt Einmalpasswörter (OTPs) ab, liest Kontaktlisten aus und überwacht Bankaktivitäten. Betroffen sind Android-Geräte mit den Versionen 8 bis 14. Die Täter setzen auf Social Engineering – sie tricksen Nutzer aus, indem sie deren Vertrauen in bekannte Messenger missbrauchen.

Parallel dazu entdeckte ein Forschungsteam der Universität Wien eine Schwachstelle in der „Contact Discovery“. Durch automatisiertes Auslesen von Metadaten wurden über 3,5 Milliarden WhatsApp-Accounts identifiziert. Chat-Inhalte blieben dank Ende-zu-Ende-Verschlüsselung geschützt, doch Telefonnummern, Zeitstempel und Profilbilder ließen sich massenhaft abgreifen. Meta bestätigte das unerlaubte Scraping und schränkte die Funktionen ein.

Rekordschäden: Banking-Trojaner und Werbebetrug explodieren

Branchenanalysten erwarten 2026 weltweite Schäden durch mobile Cyberkriminalität von 442 Milliarden Euro. Der Haupttreiber: Banking-Trojaner. Im ersten Quartal stiegen solche Angriffe um 196 Prozent auf rund 1,24 Millionen Fälle. Besonders aktiv sind die Trojaner-Familien Anatsa und Mamont.

Neben dem direkten Zugriff auf Bankkonten boomt organisierter Werbebetrug. Die Sicherheitsorganisation Human Security deckte im Mai 2026 die „Trapdoor“-Kampagne auf. 455 bösartige Apps im Google Play Store wurden insgesamt über 24 Millionen Mal heruntergeladen. Sie generierten heimlich gefälschten Werbetraffic – bis zu 659 Millionen Gebotsanfragen pro Tag. Google entfernte die Apps nach der Entdeckung.

ESET identifizierte zudem die Betrugsmasche „CallPhantom“. 28 Apps im Play Store versprachen, Anrufprotokolle und SMS fremder Nummern anzuzeigen. Stattdessen lieferten sie gefälschte Ergebnisse und sammelten Daten. Die Apps wurden über 7,3 Millionen Mal installiert.

Texas verklagt Meta: Streit um Verschlüsselungsstärke

Der US-Bundesstaat Texas hat im Mai 2026 Klage gegen Meta eingereicht. Der Vorwurf: Täuschung der Verbraucher über die tatsächliche Verschlüsselungsstärke von WhatsApp. Die Klage stützt sich auf den Texas Deceptive Trade Practices Act und zieht Whistleblower-Berichte sowie Aussagen eines Sonderermittlers des US-Handelsministeriums heran.

Die Klageschrift behauptet, Meta könne verschlüsselte Inhalte einsehen oder die Verschlüsselung umgehen. Meta-Sprecher Andy Stone wies die Vorwürfe zurück: Das Unternehmen habe keinen Zugriff auf die verschlüsselte Kommunikation. Pro Verstoß drohen Geldstrafen von bis zu 10.000 US-Dollar.

Branchenexperten wie Alex Stamos und Matthew Green halten die Behauptung einer systematischen Umgehung für fast sicher falsch. Dennoch erhöht der juristische Druck die Aufmerksamkeit für das Thema Privatsphäre.

Microsoft kippt SMS-Login: Passkeys als neuer Standard

Die Industrie reagiert auf die Angriffswelle mit einem Strategiewechsel. Microsoft stellt den Login via SMS-Codes ein. Die Technik gilt wegen SIM-Swapping, Phishing und fehlender Verschlüsselung als veraltet. Künftig setzt der Konzern auf Passkeys mit biometrischen Merkmalen und gerätespezifischen PINs.

Auch eine kritische Schwachstelle im Microsoft Authenticator (CVE-2026-41615, CVSS-Wert 9,6) beschleunigt den Umstieg.

Da herkömmliche Passwörter und SMS-Codes zunehmend zur Zielscheibe für Hacker werden, bietet die neue Passkey-Technologie eine sicherere Alternative. Dieser kostenlose Report erklärt Ihnen, wie Sie die passwortlose Anmeldung bei Diensten wie Amazon oder WhatsApp in wenigen Minuten einrichten. Kostenlosen Report zu Passkeys jetzt anfordern

Parallel dazu bereitet sich der Markt auf digitale Identitäten vor. Das Bundeskabinett verabschiedete im Mai 2026 das Digital-Identitäts-Gesetz (DIdG). Die EUDI-Wallet soll ab Januar 2027 verfügbar sein. Apple integrierte bereits in iOS 26.5 erweiterte Funktionen für Identitätsnachweise und schloss 52 Sicherheitslücken.

Android 17 soll eine automatische Erkennung gefälschter Bankanrufe und eine Live-Bedrohungserkennung bieten. Google Play Protect und monatliche Sicherheitsupdates bleiben die zentralen Säulen. Experten betonen: Der Verzicht auf App-Installationen aus unbekannten Quellen ist wichtiger als zusätzliche Antiviren-Software.

KI-gesteuerte Angriffe: 86 Prozent aller Phishing-Kampagnen automatisiert

Ein besorgniserregender Trend ist der hohe Automatisierungsgrad. Schätzungen zufolge sind 86 Prozent aller Phishing-Kampagnen KI-gesteuert. Angreifer versenden täglich rund 3,4 Milliarden betrügerische Nachrichten. Besonders stark wächst „Quishing“ – Phishing via QR-Codes – mit einem Anstieg von 150 Prozent auf etwa 18 Millionen Vorfälle.

Trotz der Professionalität der Angreifer zeigt sich bei Ransomware eine positive Entwicklung: Die Zahlungsbereitschaft sank auf etwa 23 Prozent, obwohl die Anzahl der Angriffe um 26 Prozent stieg. Das deutet auf bessere Backup-Strategien und stärkere Sensibilisierung hin.

Ausblick: Neue Sicherheitsstandards für mobile Geräte

Die kommenden Monate werden von der Implementierung neuer Sicherheitsstandards auf Betriebssystemebene geprägt sein. Google rollte mit den Mai-Updates 2026 Verbesserungen bei der Privatsphäre in der WebView-Komponente und neue Diebstahlschutzfunktionen aus.

Die juristische Klärung der Vorwürfe gegen Meta in Texas wird wegweisend für Transparenzpflichten bei Verschlüsselung sein. Für Verbraucher bleibt die wichtigste Schutzmaßnahme: Apps nur über verifizierte Quellen installieren und Nachrichten kritisch prüfen, die zur Installation externer APK-Dateien auffordern. Angesichts der geplanten EUDI-Wallet wird die Integrität mobiler Endgeräte künftig noch stärker über die Teilhabe am digitalen Wirtschaftsverkehr entscheiden.

de | wissenschaft | 69403609 |