android
Angriffe auf Android-Geräte haben 2025 alle Rekorde gebrochen. Betrüger nutzen derzeit mehrere Trends: den Wirbel um KI-Apps, den Wunsch, Website-Sperren und Altersprüfungen zu umgehen, die Schnäppchenjagd nach neuen Smartphones, das allgegenwärtige mobile Banking und natürlich die Popularität von NFC. Wir beleuchten die wichtigsten Bedrohungen von 2025/2026 und überlegen, wie du dein Android-Gerät unter so widrigen Bedingungen schützen kannst.
Sideloading
Bösartige Installationspakete (APK-Dateien) waren schon immer die schlimmste aller Android-Bedrohungen. Auch langjährige Bemühungen von Google konnten dieses Problem nicht vollständig lösen. Sideloading bedeutet die Installation einer App über eine APK-Datei anstatt aus einem offiziellen App-Store. Damit können Nutzer so ziemlich alles installieren – leider auch Malware. Weder die Einführung von Google Play Protect noch Zugriffsbeschränkungen für fragwürdige Apps konnten das Problem aus der Welt schaffen.
Nach einer vorläufigen Kaspersky-Statistik hat sich 2025 die Zahl der erkannten Android-Bedrohungen fast verdoppelt. Vom zweiten zum dritten Quartal stieg sie um über 38 %. In bestimmten Nischen, beispielsweise bei Banking-Trojanern, explodierten die Zahlen geradezu. Allein in Russland griff der berüchtigte Banking-Trojaner Mamont 36-mal mehr Nutzer an als im Vorjahr. Weltweit vervierfachten sich die Zahlen für diese Kategorie.
Heutzutage wird Malware hauptsächlich über Messaging-Apps verbreitet: Bösartige Dateien werden in privaten Nachrichten und Gruppenchats verschickt. Installationsdateien haben meist verlockende Namen („party_fotos.jpg.apk“ oder „sonderangebote_katalog.apk“). Daneben wird gleich erklärt, wie man das Paket trotz Betriebssystemeinschränkungen und Sicherheitswarnungen installiert.
Sobald ein neues Gerät infiziert ist, wird die Malware oft an alle Personen aus der Kontaktliste des Opfers gesendet.
Auch Suchmaschinen-Spam und E-Mail-Kampagnen haben Hochkonjunktur und locken die Nutzer auf Websites, die einem offiziellen App-Store bis aufs Haar gleichen. Dort wird eine „brandaktuelle, praktische App“ zum Download angeboten, etwa ein KI-Assistent. Anstatt die App aus einem offiziellen App-Store zu installieren, wird ein APK-Paket heruntergeladen. Ein Paradebeispiel für diese Taktik ist der Android-Trojaner ClayRat, der russische Nutzer mit einer bunten Mischung all dieser Techniken angreift. Er verbreitet sich über Gruppen und gefälschte Websites, versendet sich per SMS an die Kontakte des Opfers und stiehlt dann die Chat-Protokolle und den Anrufverlauf. Er kann sogar die Frontkamera steuern und den Besitzer fotografieren. In nur drei Monaten sind mehr als 600 ClayRat-Versionen aufgetaucht.
Das Ausmaß der Katastrophe ist so groß, dass Google sogar ankündigte, den Vertrieb von Apps unbekannter Entwickler ab 2026 zu untersagen. Auf Druck der Entwickler-Community beschloss das Unternehmen jedoch einige Monate später ein milderes Vorgehen: Unsignierte Apps können künftig wohl nur noch in einem speziellen Superuser-Modus installiert werden. Dies lässt jedoch erwarten, dass Betrüger ihre Anleitungen einfach abändern, um den Modus zu aktivieren.
Kaspersky für Android hilft gegen gefälschte und mit Trojanern versehene APK-Dateien. Aufgrund einer Entscheidung von Google sind unsere Sicherheits-Apps für Android derzeit leider nicht bei Google Play verfügbar. Hier findest du ausführliche Informationen zur Installation unserer Android-Apps – mit 100 % Echtheitsgarantie.
NFC-Relay-Angriffe
Sobald ein Android-Gerät kompromittiert ist, können Hacker das Geld des Opfers ohne lästige Umwege stehlen. Die wachsende Beliebtheit des mobilen Bezahlens macht es noch einfacher. Im dritten Quartal 2025 wurden allein in Russland über 44.000 solcher Angriffe erkannt. Dies ist ein Anstieg um 50 % gegenüber dem vorherigen Quartal.
Derzeit gibt es zwei grundlegende Betrugsarten: direkte und „umgekehrte“ NFC-Exploits.
Beim direkten NFC-Relay kontaktiert ein Betrüger das Opfer über eine Messaging-App und überzeugt es davon, eine App herunterzuladen. Die App dient angeblich dazu, sich bei einer Bank zu authentifizieren. Wenn das Opfer anbeißt und die App installiert, wird es aufgefordert, seine physische Bankkarte auf die Rückseite des Telefons zu legen und die PIN einzugeben. Dadurch werden die Kartendaten an die Kriminellen weitergegeben. Volltreffer! Die Gauner können das Konto leeren oder auf Einkaufstour gehen.
Reverse-NFC-Relay ist etwas komplexer. Der Betrüger sendet eine bösartige APK-Datei und überzeugt das Opfer, diese neue App als primäre kontaktlose Zahlungsmethode festzulegen. Die App generiert ein NFC-Signal, das von Geldautomaten als Karte des Betrügers erkannt wird. Dann wird das Opfer überredet, mit dem infizierten Telefon zu einem Geldautomaten zu gehen, um Geld auf ein „sicheres Konto“ zu überweisen. Bingo! Das Geld landet direkt in der Tasche des Betrügers.
Beide Methoden werden in unserem Beitrag NFC-Skimming-Angriffe genau beschrieben.
NFC wird auch eingesetzt, um Bargeld von Karten abzuheben, nachdem die Kartendaten über Phishing-Websites abgeflossen sind. Bei diesem Szenario versuchen Angreifer, die gestohlene Karte mit einer mobilen Geldbörse auf ihrem eigenen Smartphone zu verknüpfen. Diesem Schema ist unser Artikel NFC-Betrug via Apple Pay und Google Wallet gewidmet.
Riskante VPNs
In vielen Ländern ist der Zugriff auf bestimmte Websites inzwischen nicht mehr so einfach möglich. Manche Websites werden von lokalen Internet-Regulierungsbehörden oder Providern per Gerichtsbeschluss gesperrt. Andere verlangen von den Nutzern einen Altersnachweis mit Ausweiskontrolle und Eingabe persönlicher Daten. In einigen Fällen werden Websites für Nutzer aus bestimmten Ländern pauschal gesperrt. Die Anbieter wollen Konflikte mit lokalen Gesetzen vermeiden. Viele Nutzer versuchen, diese Beschränkungen zu umgehen, und verlieren dabei oft ihre Daten oder ihr Geld.
Viele beliebte Tools zur Umgehung von Sperren spionieren ihre Nutzer schamlos aus. Dies gilt insbesondere für kostenlose Apps. Ein kürzlich durchgeführter Test ergab, dass über 20 beliebte Dienste mit insgesamt über 700 Millionen Downloads den aktuellen Standort der Nutzer verfolgen. Viele setzen zudem eine lückenhafte Verschlüsselung ein. Dann können alle Benutzerdaten durch Dritte abgefangen werden.
Wie Google im November 2025 erklärte, gab es einen starken Anstieg von Fällen, in denen bösartige Apps als legitime VPN-Dienste getarnt wurden, um ahnungslose Nutzer zu täuschen.
Die Berechtigungen, die Apps aus dieser Kategorie tatsächlich benötigen, eignen sich perfekt, um Daten abzufangen und den Website-Datenverkehr zu manipulieren. Betrüger können ein Opfer relativ einfach davon überzeugen, einer App, die für den Internetzugang zuständig ist, Administratorrechte zu gewähren. Bei einem Spiel oder einem Musikplayer wäre dies schwieriger. Dieses Schema wird vermutlich weiter an Popularität gewinnen.
Trojaner im Schlafrock
Auch vorsichtige Nutzer können einer Infektion zum Opfer fallen. Ein möglicher Grund ist Sparsamkeit. 2025 wurden aus der ganzen Welt Fälle gemeldet, in denen auf originalverpackten Geräten Trojaner vorinstalliert waren. Dies waren entweder Smartphones von unbekannten Herstellern oder Fälschungen bekannter Marken, die aus Online-Shops stammten. Die Bedrohung war aber nicht auf Telefone beschränkt. Auch TV-Boxen, Tablets, Smart-TVs und sogar digitale Bilderrahmen waren betroffen.
Es bleibt unklar, ob solche Geräte direkt bei der Produktion oder irgendwo unterwegs infiziert werden. Fest steht aber: Das Gerät ist bereits infiziert, bevor der Käufer es zum ersten Mal einschaltet. In der Regel handelt es sich um die raffinierte Triada-Malware, die erstmals 2016 von Kaspersky-Analysten identifiziert wurde. Sie kann sich in jede laufende App einschleusen und Informationen abfangen: Zugriffstoken und Passwörter für gängige Messaging-Apps und Social Media stehlen, SMS-Nachrichten abgreifen (auch Bestätigungscodes!), Nutzer auf Werbe-Websites umleiten und sogar direkt auf dem Telefon einen Proxy ausführen (dann können Angreifer unter der Identität des Opfers im Internet surfen).
Technisch betrachtet ist der Trojaner direkt in die Smartphone-Firmware integriert. Er kann nur gelöscht werden, wenn das Gerät mithilfe einer „sauberen“ Firmware zurückgesetzt wird. Und noch eine unangenehme Überraschung: RAM oder Speicherplatz sind viel kleiner als angegeben. Die Firmware belügt den Besitzer buchstäblich. Alles nur, um minderwertige Geräte teuer zu verkaufen.
Eine weitere häufige Bedrohung ist das vorinstallierte Botnet BADBOX 2.0, das auch als Proxy und Modul für Werbebetrug in Umlauf ist. Es ist auf TV-Boxen und ähnliche Hardware spezialisiert.
So kannst du Android weiterhin verwenden (und deine Nerven schonen)
Auch wenn die Liste der Bedrohungen immer länger wird, kannst du dein Android-Smartphone auch in Zukunft auf sichere Weise verwenden! Dafür sind jedoch einige strenge „Hygieneregeln“ für Smartphones unumgänglich.
- Installiere eine zuverlässige Sicherheitslösung auf allen deinen Smartphones. Unsere Empfehlung: Kaspersky für Android – schützt effektiv vor Malware und Phishing.
- Installiere Apps nicht aus APK-Dateien, sondern über einen offiziellen App-Store. Selbst ein relativ unbekannter App-Store ist immer noch besser als eine APK von einer zufälligen Website. Solltest du keine andere Wahl haben, lade APK-Dateien nur von den offiziellen Websites des jeweiligen Unternehmens herunter und überprüfe vorher genau, ob die URL stimmt. Falls du mit der Website nicht absolut sicher bist, verlasse dich nicht nur auf eine Suchmaschine. Schau in den offiziellen Quellen des Unternehmens oder zumindest bei Wikipedia nach, um die richtige Adresse zu finden.
- Achte während der Installation genau auf Warnungen des Betriebssystems. Erteile keine Berechtigungen, wenn die angeforderten Rechte oder Aktionen für die betreffende App unlogisch erscheinen oder zu weit reichen.
- Installiere Apps auf keinen Fall über Links oder Anhänge aus Chats, E-Mails oder ähnlichen Kommunikationskanälen.
- Lege deine physische Bankkarte niemals auf dein Telefon. Es gibt absolut keinen legitimen Grund, aus dem dies notwendig wäre.
- Gib deine Karten-PIN nicht in eine App auf deinem Smartphone ein. Eine PIN darf nur an einem Geldautomaten oder Zahlungsterminal abgefragt werden.
- Wenn du ein VPN benötigst, halte dich an kostenpflichtige Dienste von namhaften Anbietern.
- Kaufe Smartphones und andere elektronische Geräte bei offiziellen Händlern und mach einen Bogen um unbekannte Marken. Und denk dran: Was zu schön klingt, um wahr zu sein, hat wahrscheinlich einen Haken.
Weitere wichtige Android-Bedrohungen aus dem Jahr 2025:
Tipps