Mobile Cyberkriminalität erreicht neue Dimension: 442 Milliarden Euro Schaden erwartet

Für 2026 prognostizieren Analysten weltweite Verluste von 442 Milliarden Euro – ein alarmierender Anstieg, der auch deutsche Verbraucher und Unternehmen hart treffen könnte.

Banking, PayPal, WhatsApp – auf dem Smartphone speichern wir unsere sensibelsten Daten, während die Gefahr durch mobile Cyberangriffe massiv zunimmt. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Viren schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Hinter der Zahlenlawine steckt eine neue Generation von KI-gestützten Phishing-Kampagnen, die selbst erfahrene Nutzer täuschen. Rund 88 Prozent der Betroffenen erleiden direkte finanzielle Schäden. Die Angreifer nutzen raffinierte Methoden: Sie imitieren vertrauenswürge Institutionen, setzen auf automatisierte Tools und umgehen traditionelle Sicherheitsvorkehrungen mit erschreckender Leichtigkeit.

Behörden und Gerichte im Visier der Betrüger

Besonders perfide: Kriminelle geben sich als staatliche Stellen oder Gerichte aus. Erst am 14. Mai warnte Richterin Paige Rosini aus Northumberland County, Pennsylvania, vor einer Betrugsmasche mit gefälschten Gerichtsvorladungen. Die Empfänger werden aufgefordert, an angeblichen Konferenzschaltungen teilzunehmen oder Zahlungen zu leisten – obwohl Gerichte niemals auf diesem Weg Kontakt aufnehmen.

Ähnliche Fälle häufen sich: In Puyallup, Washington, tauchten Rechnungen über 5.000 Dollar für Bau genehmigungen auf – abgesandt von einer gefälschten E-Mail-Adresse. Die Stadt Lanesboro in Minnesota warnte vor Betrügern, die unter dem Namen des Stadtverwalters Mitchell Walbridge Überweisungen forderten. Dabei läuft die legitime Rechnungsstellung ausschließlich per Post.

In Idaho ermitteln sowohl das FBI als auch die lokale Entwicklungsbehörde: Dort geben sich Kriminelle als County-Kommissare aus, um an Bankdaten und Überweisungen zu gelangen. Die Better Business Bureau warnt zudem: Die Feiertage rund um den Memorial Day werden traditionell für verstärkte Phishing-Angriffe genutzt.

Die Technik hinter den Angriffen wird immer raffinierter

Die Methoden der Cyberkriminellen entwickeln sich rasant weiter. Die Sicherheitsforscher von Cofense berichten von neuen KI-gestützten Erkennungssystemen, die gegen Angriffe auf Plattformen von Microsoft, Cisco und Mimecast eingesetzt werden. Besonders im Fokus: die Gruppe FlowerStorm, die eine JavaScript-Virtual-Machine namens KrakVM nutzt. Damit verschleiert sie ihren Code und zielt auf Microsoft 365, Hotmail und GoDaddy-Konten ab. Diese sogenannten „Adversary-in-the-Middle"-Angriffe (AiTM) können sogar Multi-Faktor-Authentifizierung umgehen.

Parallel dazu verbreiten sich spezialisierte Banking-Trojaner auf mobilen Geräten. Zimperium identifizierte vier neue Schadsoftware-Kampagnen – RecruitRat, SaferRat, Astrinox und Massiv – die über 800 Finanz- und Social-Media-Apps angreifen. Sie verstecken sich in gefälschten Jobportalen oder Streaming-Seiten und zeigen fingierte Login-Bildschirme an, während sie in Echtzeit Bildschirminhalte übertragen.

Eine besonders tückische Variante: Dateilose Angriffe, die legitime Software-Installateure kapern. In einem aktuellen Fall nutzten Angreifer eine modifizierte Version des HWMonitor-Tools, um den STX RAT einzuschleusen – einen Trojaner, der Bildschirmaktivitäten aufzeichnet und gezielt nach Sicherheitssoftware von CrowdStrike, SentinelOne oder Kaspersky sucht.

App-Stores als Einfallstor – Millionen Nutzer betroffen

Die Sicherheitslücken in den offiziellen App-Stores bleiben ein kritischer Punkt. Forscher von ESET entdeckten 28 „CallPhantom"-Apps im Google Play Store, die insgesamt 7,3 Millionen Nutzer erreichten, bevor sie entfernt wurden. Die Apps versprachen Zugriff auf Anrufprotokolle und WhatsApp-Logs, generierten aber nur betrügerische Daten und kassierten Abogebühren zwischen 5 und 80 Euro. Google wurde bereits Ende 2025 informiert – die Schäden sind dennoch enorm, über die Hälfte der Opfer sitzt in Indien.

Auch die SIM-Swapping-Methode bleibt gefährlich. Ein aktueller Fall aus Neuseeland zeigt, wie schnell es gehen kann: In nur 15 Minuten wurde die Mobilfunknummer eines Nutzers gekapert, was Angreifern ermöglichte, Passwörter per SMS zurückzusetzen. Der Schaden: 19.300 Neuseeland-Dollar. Als Reaktion führte der Anbieter One NZ eine verpflichtende 15-minütige Verzögerung bei SIM-Karten-Transfers ein – ein Fenster, in dem Nutzer betrügerische Anfragen stoppen können.

Ein veraltetes Betriebssystem ist für Hacker oft wie eine offene Haustür zu Ihren privaten Daten und Bankkonten. Wie Sie Ihr Android-Smartphone durch die richtigen Sicherheits-Updates und einfache Einstellungen dauerhaft gegen Malware absichern, erfahren Sie in diesem Experten-Report. Kostenlosen Android-Sicherheits-Guide herunterladen

Apple hat unterdessen iOS 26.5 veröffentlicht, das über 60 Sicherheitslücken schließt, darunter die kritische Schwachstelle CVE-2026-28951. Android-Nutzer werden gewarnt, Apps keine weitreichenden Berechtigungen zu erteilen – besonders gefährlich sind Zugriffe auf Bedienungshilfen und Overlays, die Keylogging und gefälschte Login-Bildschirme ermöglichen. Und selbst WhatsApp bereitet Sorgen: Der Messenger belegt Berichten zufolge mitunter bis zu 9 GB Speicher, obwohl die Systemanzeige deutlich weniger ausweist.

Quishing auf dem Vormarsch: 150 Prozent mehr Angriffe

Eine besonders stark wachsende Gefahr ist „Quishing" – Phishing per QR-Code. Die Zahl der Vorfälle stieg im ersten Quartal 2026 um 150 Prozent auf rund 18 Millionen Fälle. Ein Beispiel aus Köln zeigt die Tücke: Ein Opfer verlor mehrere hundert Euro, nachdem es einen gefälschten Parkzahlungsdienst in Dänemark scannte. Die unberechtigten Abbuchungen fielen erst Wochen später bei der Konto prüfung auf.

Die rechtliche Lage für Betroffene entwickelt sich weiter. Ein Urteil des LG Berlin II stellt klar: Banken haften grundsätzlich für Schäden aus Phishing-Angriffen – es sei denn, der Kunde handelte grob fahrlässig. Die Geldinstitute müssen nachweisen, dass Nutzer klare Warnungen ignorierten oder Zahlungen in voller Kenntnis des Risikos autorisierten. Allerdings: Wer eine Zahlung bewusst freigibt, auch wenn sie durch eine betrügerische App oder Website getäuscht wurde, bekommt sein Geld in der Regel nicht zurück.

Neue Schutzmechanismen am Horizont

Die Tech-Branche rüstet auf. Das kommende Android 17 soll einen „Theft Detection Lock" und einen „Failed Authentication Lock" enthalten – Schutzfunktionen, die Geräte bei Diebstahl oder nach fehlgeschlagenen Entsperrversuchen sperren. Im Telekommunikationssektor begann am 13. Mai 2026 ein bedeutender Rollout der RCS-Verschlüsselung bei großen Anbietern wie Telekom, O2 und 1&1, um Nachrichten vor Abhörversuchen zu schützen.

Für Verbraucher empfehlen Cybersicherheitsbehörden: Zahlungsaufforderungen immer über offizielle Kanäle prüfen, QR-Codes für sensible Transaktionen meiden und bei Verdacht auf Kontomissbrauch sofort die Notrufnummer 116 116 nutzen. Da Phishing-Banden wie FlowerStorm zunehmend auf Virtual-Machine-Verschleierung setzen, zeichnet sich ein branchenweiter Trend ab: Hardware-basierte Sicherheitsschlüssel und biometrische Verfahren sollen die anfällige SMS-basierte Zwei-Faktor-Authentifizierung ablösen.

de | wissenschaft | 69338470 |