Cyberangriffe: Android-Lücken und Bank-Phishing eskalieren
Google veröffentlicht massives Android-Update gegen Zero-Day-Lücken, während Banken vor QR-Code-Phishing und umgangener Zwei-Faktor-Authentifizierung warnen. Die Cyberangriffe werden zunehmend gezielter und raffinierter.
Über 100 Android-Schwachstellen geschlossen, zwei davon bereits ausgenutzt. Gleichzeitig warnen Banken vor raffinierten Quishing-Attacken mit QR-Codes auf deutsche Kunden. Selbst die Zwei-Faktor-Authentifizierung wird zunehmend umgangen – die digitale Bedrohungslage erreicht eine neue Eskalationsstufe.
Die Cybersicherheit hat diese Woche gleich zwei dramatische Wendungen erlebt. Während Google ein massives Android-Sicherheitsupdate veröffentlichte, das eine alarmierend hohe Zahl von Schwachstellen schließt, schlagen Banken und Verbraucherschützer Alarm wegen einer neuen Phishing-Welle. Die Kriminellen setzen dabei auf QR-Code-Betrug und umgehen sogar die bewährte Zwei-Faktor-Authentifizierung. Was bedeutet das für Millionen deutsche Nutzer?
Zero-Day-Alarm: Google schließt über 100 Android-Lücken
Das September-Update für Android 13 bis 16 bricht alle Rekorde. Je nach Zählweise wurden zwischen 111 und 120 Sicherheitslücken geschlossen – so viele wie selten zuvor in einem einzigen Patch. Besonders brisant: Zwei dieser Schwachstellen werden bereits aktiv von Hackern ausgenutzt.
Die Zero-Day-Lücken CVE-2025-38352 im Linux-Kernel und CVE-2025-48543 in der Android Runtime ermöglichen es Angreifern, sich erweiterte Systemrechte zu verschaffen. Eine dritte kritische Schwachstelle hätte sogar Zero-Click-Angriffe über Bluetooth oder WLAN ermöglicht – ganz ohne Nutzer-Interaktion.
Android-Nutzer sollten das Update sofort installieren. Der Patch-Level muss nach dem Update „2025-09-05“ oder neuer anzeigen. Wer das Update verschläft, öffnet Hackern Tür und Tor zu seinen persönlichen Daten.
Anzeige: Apropos Android-Update: Ein Patch schließt bekannte Lücken – doch Social Engineering und neue Tricks bleiben gefährlich. Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, die WhatsApp, Online‑Banking und PayPal zuverlässig schützen. Der kostenlose Ratgeber erklärt alles Schritt für Schritt – ganz ohne teure Zusatz‑Apps. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Quishing-Welle: Wenn QR-Codes zur Falle werden
Während Google die technischen Lücken stopft, eskaliert die Bedrohung durch Social Engineering. Deutsche Bank, Sparkassen und Verbraucherzentralen warnen vor einer massiven Phishing-Welle mit einer besonders heimtückischen Methode: dem Quishing.
Die Kriminellen versenden täuschend echte Bank-E-Mails mit QR-Codes. Wer den Code scannt, landet auf einer gefälschten Bank-Website, die Zugangsdaten und TANs abgreift. Die Masche funktioniert, weil QR-Codes inzwischen Alltag sind – vom Restaurant-Menü bis zum Parkticket.
Noch raffinierter: Betrüger platzieren gefälschte SMS im selben Chat-Verlauf wie echte Google-Bestätigungscodes. Das erzeugt falsches Vertrauen und lockt Opfer an betrügerische Support-Hotlines.
Anzeige: Quishing über QR‑Codes und gefälschte Bestätigungssms zeigt, wie raffiniert Angriffe geworden sind. Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – inklusive Checklisten gegen Phishing, schadhafte Apps und vergessene Update‑Routinen. In wenigen Minuten erhöhen Sie Ihr Sicherheitsniveau deutlich. Gratis‑Guide für Android‑Schutz herunterladen
Zwei-Faktor-Authentifizierung gehackt: Cookies als neue Schwachstelle
Jahrelang galt die Zwei-Faktor-Authentifizierung als unüberwindbarer Schutzwall. Doch Cyberkriminelle haben eine Methode entwickelt, auch diese Sicherheitsbarrière zu umgehen: den Cookie-Diebstahl.
Nach jeder erfolgreichen Anmeldung speichert der Browser sogenannte Sitzungs-Cookies. Schaffen es Hacker durch Malware oder Phishing, diese Dateien zu stehlen, können sie sie in ihren eigenen Browser importieren. Das Resultat? Sie sind plötzlich eingeloggt – ohne Passwort, ohne 2FA-Code.
Diese Pass-the-Cookie-Angriffe funktionieren selbst dann noch, wenn das Opfer längst sein Passwort geändert hat. Die Angreifer kapern eine bereits bestehende, legitime Sitzung.
Strategischer Wandel: Präzision statt Masse
Was die aktuellen Angriffe so gefährlich macht? Cyberkriminelle haben ihre Strategie grundlegend geändert. Statt massenhafter, ungenauer Attacken setzen sie auf gezielte Präzision.
„Während wir früher massenhaften Cookie-Diebstahl beobachten konnten, gehen Cyberkriminelle jetzt gezielt vor“, erklärt Sean Gallagher von Sophos. Die Zero-Day-Angriffe auf Android finden laut Google nur „begrenzt und gezielt“ statt – oft gegen hochrangige Ziele wie Journalisten oder Dissidenten.
Das Quishing zeigt die psychologische Raffinesse: Kriminelle nutzen alltägliche Gewohnheiten wie das QR-Code-Scannen und übertragen sie in betrügerische Kontexte. Aus technischen Angriffen wird psychologische Kriegsführung.
Digitale Hygiene wird überlebenswichtig
Die Botschaft ist klar: Bloße Sicherheitsmechanismen reichen nicht mehr aus. Nutzer müssen ihre digitale Hygiene grundlegend überdenken.
Sofortige Updates installieren, einzigartige Passwörter verwenden und Authenticator-Apps statt SMS für die 2FA nutzen – das sind die neuen Mindeststandards. Vor allem aber: Gesunde Skepsis gegenüber unerwarteten Nachrichten entwickeln.
Die Zukunft gehört passwortlosen Methoden wie Passkeys, die von Natur aus resistenter gegen Phishing sind. Bis dahin bleibt Wachsamkeit die wichtigste Verteidigung in einem Krieg, der längst in unseren Hosentaschen angekommen ist.
