Mobile Banking-Trojaner: Angriffe springen um 196 Prozent

LGR Reutlingen – 27 Mai 2026 | Sicherheitsexperten berichten von einem alarmierenden Anstieg der Angriffe durch Mobile Banking-Trojaner, der im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen Vorfälle gestiegen ist. Dies zeigt, wie gravierend die Bedrohung durch mobile Cyberkriminalität geworden ist. Die geschätzten weltweiten wirtschaftlichen Schäden könnten bis Ende 2026 auf rund 442 Milliarden Euro ansteigen.

Mit Millionen von Deutschen, die täglich Online-Banking über ihre Smartphones nutzen, sind die Risiken enorm. Experten warnen eindringlich davor, dass diejenigen, die sich nicht mit den nötigen Schutzmaßnahmen auskennen, ernsthafte Datenverluste und finanzielle Schäden riskieren. Zu den empfohlenen Schutzmaßnahmen zählen unter anderem die Verwendung von starken Passwörtern und die Aktivierung der Zwei-Faktor-Authentifizierung.

Ein Haupttreiber dieses Anstiegs ist die zunehmende Nutzung von Künstlicher Intelligenz (KI) durch Cyberkriminelle. Schätzungen zufolge basieren mittlerweile 86 Prozent aller Phishing-Kampagnen auf KI-Technologien. Täglich werden etwa 3,4 Milliarden schädliche Nachrichten weltweit versendet. Besonders besorgniserregend ist der kürzlich entdeckte erste von einer KI entwickelte Zero-Day-Exploit, der auf einen semantischen Logikfehler in einem weit verbreiteten Server-Management-Tool abzielt und die Zwei-Faktor-Authentifizierung für Cloud-Dienste umgeht.

Die Täter haben ihre Infrastruktur professionalisiert. Eine Plattform namens Kali365 bietet seit Frühjahr 2026 ihre Dienste als „Phishing-as-a-Service“ an. Für 250 Euro im Monat oder 2.000 Euro jährlich können Angreifer komplexe Attacken durchführen, unter anderem den Missbrauch des OAuth Device Code Flow, um die Multi-Faktor-Authentifizierung zu umgehen. Die Gruppe Storm-2949 hat diese Methode bereits für massive Angriffe in Nordamerika und Europa genutzt, wobei sensible Daten aus Cloud-Speichern oft innerhalb weniger Minuten gestohlen wurden.

Darüber hinaus haben altbekannte Methoden ein KI-Update erfahren. Das sogenannte Quishing, bei dem QR-Codes für Phishing verwendet werden, ist um 150 Prozent auf 18 Millionen Fälle gestiegen. Experten von Kaspersky haben eine neue Taktik beobachtet, bei der Angreifer QR-Codes aus ASCII- oder Unicode-Zeichen generieren, die für automatisierte E-Mail-Scanner unsichtbar sind, jedoch auf mobilen Geräten wie normale QR-Codes funktionieren.

Im Android-Ökosystem ist der Mamont-Trojaner besonders verbreitet und verantwortlich für etwa 70 Prozent der Angriffe. Eine perfide Kampagne namens Trapdoor hat über 450 manipulierte Apps in den offiziellen Google Play Store geschleust, die zusammen über 24 Millionen Downloads verzeichneten. Diese Apps führten im Hintergrund bis zu 480 Millionen betrügerische Werbeauktionen pro Tag durch.

Zusätzlich gibt es nicht patchbare Hardware-Schwachstellen. Die Sicherheitslücke CVE-2026-25262 im BootROM bestimmter Qualcomm-Chipsätze ermöglicht tiefgreifende Systemeingriffe, die durch Software-Updates kaum behoben werden können. Auch im Linux-Kernel wurde mit CVE-2026-31635 eine kritische Lücke entdeckt, die ein weiteres Risiko darstellt.

Plattformbetreiber reagieren auf diese wachsenden Bedrohungen: Apple hat Post-Quanten-Kryptografie (PQ3) sowie einen erweiterten Schutz für gestohlene Geräte eingeführt. Android 17, auch bekannt als Cinnamon Bun, wird mit einem neuen „Theft Detection Lock“ ausgestattet, der verdächtige Bewegungen erkennt und das Gerät sofort sperrt. Darüber hinaus sollen Anrufe von bekannten Betrugsnummern künftig automatisch blockiert werden. Dennoch nutzen nur etwa 18 Prozent der Nutzer kostenpflichtige Premium-Sicherheitslösungen.

Die Explosion der Betrugsfälle bleibt nicht ohne rechtliche Konsequenzen. Das Oberlandesgericht Frankfurt am Main hat ein wegweisendes Urteil gefällt, wonach Banken für unbefugte Geldabhebungen haften, wenn dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann. Ein konkreter Fall betraf einen Kunden, der während eines Auslandsaufenthalts 220.000 Euro verlor, ohne jemals physischen Zugriff auf seine Karte oder PIN zu haben.

Das Landgericht Itzehoe sieht sich ebenfalls mit einer hohen Anzahl von Klagen konfrontiert, darunter rund 90 gegen eine große Direktbank. Oft sind Social-Engineering-Techniken im Spiel, bei denen Täter sich am Telefon als Bankmitarbeiter ausgeben. Lokale Polizeibehörden im Rhein-Kreis Neuss und in Hamm berichten von Fällen, in denen Betrüger mit gefälschten SMS und persönlichen Anrufen hohe Summen erbeutet haben, teilweise indem sie EC-Karten direkt an der Haustür der Opfer abholten.

Die Behörden haben jedoch auch Erfolge zu verzeichnen. Im Rahmen der internationalen Operation FRONTIER+ III, die von Interpol geleitet wird, gab es weltweit 3.000 Festnahmen, und es wurden Gelder in Höhe von 752 Millionen US-Dollar eingefroren.

In Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt, was den Schutz vor Datenklau dringlicher denn je macht. Die Aktivierungslücke zwischen Kartenzustellung und erster Nutzung stellt ein kritisches Sicherheitsrisiko dar. Giesecke+Devrient (G+D) hat neue Lösungen in seiner Convego-Produktlinie entwickelt, um diesem Risiko zu begegnen. Marktdaten zeigen, dass 10 bis 20 Prozent der Kartenzustellungen aufgrund fehlerhafter Adressen scheitern oder zurückgesendet werden, was ein Einfallstor für Postweg-Diebstähle darstellt.

Um die Sicherheit zu erhöhen, werden KI-gestützte Adressvalidierungen und NFC-fähige Versandverpackungen eingesetzt. Kiosk-basierte Sofortabholungen gewinnen an Bedeutung, insbesondere im US-Markt mit über 648 Millionen Kreditkartenkonten, aber auch zunehmend in Europa.

Der regulatorische Rahmen wird strenger. Mit dem Inkrafttreten des neuen Digital-Identitäts-Gesetzes in Deutschland im Mai 2026 wird die EUDI-Wallet (European Digital Identity Wallet) ab dem 2. Januar 2027 für alle Bürger verpflichtend bereitgestellt. Diese soll unsichere Methoden wie die SMS-Verifizierung langfristig ersetzen.

Großereignisse wie die Fußball-Weltmeisterschaft im Sommer 2026 wirken sich ebenfalls auf das Betrugsaufkommen aus. Analysten haben bereits über 200 betrügerische Domains und IP-Adressen identifiziert, die den offiziellen Ticketverkauf imitieren. Technologisch zeichnet sich ein Übergang zu passwortlosen Verfahren ab, mit bereits rund 5 Milliarden weltweit eingesetzten Passkeys. Microsoft hat begonnen, die SMS-Verifikation für persönliche Konten abzuschaffen, um Smishing und SIM-Swapping zu erschweren.

Die größte Schwachstelle bleibt der Faktor Mensch. Während die NIS2-Richtlinie umgesetzt wird – in Deutschland haben bisher nur rund 11.000 von knapp 30.000 erwarteten Unternehmen die Registrierung abgeschlossen – zeigen die steigenden Fälle von Social Engineering, dass technische Barrieren allein nicht ausreichen. Die Kombination aus Regulierung, verbesserter Hardware-Sicherheit und sensibilisierten Nutzern wird entscheidend sein, um den Trend der explodierenden Schadenssummen in der zweiten Jahreshälfte 2026 zu brechen.