Google räumt Play Store nach massiver Abofalle auf

28 Schad-Apps mit über 7,3 Millionen Downloads entdeckt – Betrugsserie namens CallPhantom erschüttert Android-Nutzer.

Google hat eine groß angelegte Säuberungsaktion im Play Store eingeleitet. Hintergrund ist die Entdeckung einer massiven Abofallen-Kampagne, die weltweit Android-Nutzer traf. Mindestens 28 Apps der Schadsoftware-Familie CallPhantom wurden identifiziert und entfernt – allerdings erst, nachdem sie mehr als 7,3 Millionen Mal heruntergeladen worden waren.

Banking, PayPal oder WhatsApp — auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Apps tarnten sich als nützliche Werkzeuge, etwa für die Verwaltung von Anruflisten oder angeblichen Zugriff auf private Gesprächsprotokolle. In Wirklichkeit buchten sie heimlich teure Abonnements, deren Kosten zwischen wenigen Euro und bis zu 80 Euro pro Jahr lagen. Die versprochenen Funktionen lieferten die Programme nicht – sie zeigten lediglich zufällige Daten an.

Der Kampf gegen die „Bread“-Gruppe

Der CallPhantom-Fund ist kein Einzelfall. Google dokumentiert seit drei Jahren einen zähen Kampf gegen eine Malware-Gruppe namens „Bread“ (auch als „Joker“ bekannt). In diesem Zeitraum entfernte der Konzern über 1.700 infizierte Apps aus dem Play Store. Die Täter agierten äußerst raffiniert: Sie brachten wöchentlich neue Code-Varianten in Umlauf, um die automatischen Prüfmechanismen zu umgehen.

Frühe Angriffe der Gruppe zielten auf SMS-Betrug ab. Später wechselten die Angreifer zur WAP-Abrechnung – einer Methode, bei der Kosten direkt über die Mobilfunkrechnung abgebucht werden, ohne dass der Nutzer explizit zustimmt. Zwar blockierte Googles interne Abwehr die überwältigende Mehrheit dieser Versuche. Doch einige Varianten schlüpften immer wieder durch das Sicherheitsnetz.

Malware dringt tiefer in die Android-Architektur ein

Die Bedrohungslage verschärft sich. Im Februar 2026 entdeckten Sicherheitsforscher die Schadsoftware „Keenadu“ – und das in der Firmware neuer Android-Geräte, noch bevor diese überhaupt an Kunden ausgeliefert wurden. Diese Art der Infektion ist besonders tückisch: Sie überlebt selbst einen Werksreset und ermöglicht Vollzugriff auf das Gerät. Betroffen waren über 13.000 Geräte, die meisten davon in Deutschland, Japan, Russland, Brasilien und den Niederlanden.

Gleichzeitig verändert künstliche Intelligenz die Malware-Entwicklung. Eine neu entdeckte Familie namens PromptSpy nutzt Googles eigene KI Gemini, um ihre Angriffe zu optimieren. Ein alarmierender Trend: Angreifer verwenden dieselben Technologien, die eigentlich den Nutzern helfen sollen.

TCLBANKER: Trojaner kapert Banking-Zugänge

Besonders besorgniserregend ist der TCLBANKER-Trojaner. Er hat es derzeit auf 59 verschiedene Finanzplattformen abgesehen. Seine Verbreitung ist ungewöhnlich: Statt über den Play Store zu kommen, verbreitet er sich über WhatsApp – getarnt als angebliches Sicherheitsupdate in Form einer APK-Datei. Ein selbstreplizierender Bestandteil namens SORVEPOTEL sorgt für die weitere Verbreitung.

Ist der Trojaner erst installiert, missbraucht er die Android-Barrierefreiheitsdienste für sogenannte Overlay-Angriffe. Dabei werden gefälschte Eingabefenster über echte Anwendungen gelegt. Auf diese Weise stiehlt TCLBANKER Zwei-Faktor-Authentifizierungscodes und Login-Daten – ohne dass das Opfer etwas bemerkt.

Zwei kritische Sicherheitslücken geschlossen

Google musste im Frühjahr 2026 gleich zwei schwerwiegende Systemlücken schließen. Die erste, CVE-2026-0073, ist eine Zero-Click-Schwachstelle: Ein Angreifer im selben WLAN-Netzwerk kann über die Android Debug Bridge (ADB) die vollständige Kontrolle über ein Gerät übernehmen – ohne dass der Nutzer auch nur einen Klick tätigen muss.

Die zweite Lücke, CVE-2026-0049, ist ein Zero-Interaction-Fehler: Ein speziell präpariertes Bild kann das Gerät einfrieren. In vielen Fällen hilft dann nur noch ein Werksreset. Google veröffentlichte im Mai 2026 einen Sicherheitspatch für beide Probleme.

Angriff auf die Lieferkette: JDownloader kompromittiert

Auch vertrauenswürdige Quellen sind nicht mehr sicher. Anfang Mai 2026 wurde die offizielle Website von JDownloader, einem beliebten Tool für Android und Desktop, für etwa 24 Stunden gekapert. Angreifer nutzten eine Schwachstelle im Content-Management-System der Seite aus und leiteten Download-Links auf einen Python-basierten Remote-Access-Trojaner (RAT) um. Nur wer die App direkt aktualisierte, blieb verschont.

Parallel sorgte ein Chrome-Update am 10. Mai 2026 für Aufsehen. Der Browser lud automatisch eine 4 GB große Datei namens „weights.bin“ herunter – Teil des Gemini-Nano-KI-Modells. Forscher kritisierten die mangelnde Transparenz: Die Datei wird selbst dann erneut heruntergeladen, wenn der Nutzer sie manuell löscht.

Ein veraltetes System ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre privaten Daten abgesehen haben. Dieser kostenlose Leitfaden erklärt verständlich, wie Sie Sicherheitslücken durch richtige Updates schließen und Malware dauerhaft verhindern. Kostenlosen PDF-Ratgeber für Android-Sicherheit herunterladen

Die Zukunft gehört den Passkeys

Die Sicherheitsbranche zieht Konsequenzen aus der Entwicklung. Zum World Password Day am 7. Mai 2026 machten Experten deutlich: Rund 75 Prozent aller erfolgreichen Cyberangriffe basieren inzwischen auf Social Engineering, nicht auf technischen Lücken. Obwohl 74 Prozent der Nutzer ihre Passwörter noch für sicher halten, zeigen die Daten ein düsteres Bild: „123456“ und „admin“ waren auch 2025 die meistgenutzten Zugangsdaten.

Die Antwort der Branche heißt Passkeys – biometrische Authentifizierungsverfahren, die Anmeldedaten lokal auf dem Gerät speichern. Laut der FIDO Alliance gibt es weltweit bereits 5 Milliarden Passkeys im Einsatz. Google bestätigte, dass mehr als die Hälfte seiner Nutzer in Großbritannien bereits umgestiegen ist. Auch Microsoft macht neue Konten standardmäßig passwortlos.

Ausblick: Android 17 und Quantensicherheit

Der Kampf gegen Play-Store-Malware soll mit Android 17 eine neue Phase erreichen. Das Update, das für Juni 2026 erwartet wird, soll strengere Transparenzmaßnahmen für Binärdateien und verbesserte Kontrollen für Hintergrunddienste bringen – gezielt gegen Overlay-Angriffe wie die des TCLBANKER-Trojaners.

Langfristig bereitet sich die Branche auf einen fundamentalen Wandel der Kryptographie vor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, aktuelle Verschlüsselungsverfahren wie RSA bis 2031 auf Post-Quanten-Kryptographie (PQC) umzustellen. WhatsApp und Chrome haben bereits mit hybriden PQC-Verfahren begonnen, um „Harvest now, decrypt later“-Angriffe zu verhindern – bei denen Angreifer heute Daten sammeln, um sie später mit Quantencomputern zu entschlüsseln.

de | wissenschaft | 69302240 |