Ghost Tap und Quishing: Neue Cyber-Bedrohungen attackieren Handys

Mobiles Bezahlen und QR-Codes werden zur Einfallspforte für hochgefährliche Angriffe. Sicherheitsexperten warnen vor einer neuen Welle von digitaler Erpressung und Betrug, die durch Künstliche Intelligenz angetrieben wird.

Eine neue Generation von Cyberangriffen zielt gezielt auf die Schwachstellen von Smartphones und das Vertrauen der Nutzer. Sicherheitsforscher haben diese Woche zwei besonders gefährliche Bedrohungen identifiziert: die „Ghost Tap“-Malware, die kontaktloses Bezahlen manipuliert, und staatlich geförderte „Quishing“-Kampagnen mit QR-Codes. Zusammen mit einem kürzlich bekannt gewordenen großen Datendiebstahl bei einem Krypto-Hardware-Anbieter zeichnet sich ein besorgniserregendes Bild: Die digitale Identität wird zum Hauptziel von Kriminellen, die zunehmend auf KI setzen.

Cybersicherheitsexperten warnten am 7. Januar vor der neuen Schadsoftware „Ghost Tap“. Diese Malware nutzt die NFC-Technologie (Near-Field Communication) in Smartphones für Betrug aus. Die gefährliche Innovation: Sie kann die Bezahldaten des Handys aus der Ferne an ein anderes Gerät weiterleiten.

Ein Angreifer kann so eine „Karte-vor-Ort“-Transaktion an einem Terminal durchführen, während das eigentliche Smartphone des Opfers kilometerweit entfernt ist. Die Malware wird typischerweise über gefälschte SMS oder betrügerische Anrufe verbreitet. Die Opfer werden dazu gebracht, Apps zu installieren, die seriöse Bank- oder Bezahldienste imitieren.

Viele Android‑Nutzer unterschätzen, wie einfach manipulierte Apps und bösartige QR‑Codes Zahlungen und Kontozugriffe ermöglichen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – mit praxisnahen Schritt‑für‑Schritt‑Anleitungen zu App‑Berechtigungen, Systemupdates, sicheren Zahlungs‑Einstellungen und dem richtigen Umgang mit QR‑Codes. Holen Sie sich die Checkliste per E‑Mail und schützen Sie WhatsApp, Mobile Banking & Co. sofort. Gratis-Schutzpaket für Android jetzt anfordern

Laut dem Sicherheitsunternehmen Group-IB wurden bereits über 54 schädliche App-Dateien identifiziert. Diese Methode umgeht herkömmliche Betrugserkennungssysteme, die das kontaktlose Bezahlen mit dem Handy als sehr sicher einstufen. Banken wurden aufgefordert, auf verdächtig schnelle Registrierungen von Karten in mobilen Geldbörsen und auf Transaktionen in unmöglich kurzen Abständen an weit entfernten Orten zu achten.

Quishing: QR-Codes als Waffe staatlicher Hacker

Parallel dazu haben staatliche Hacker aus Nordkorea ihre Taktik verfeinert. Die als „Kimsuky“ bekannte Gruppe setzt nun massiv auf QR-Code-Phishing, kurz „Quishing“. Dabei werden SMS verschickt, die Paketdienste oder Behörden vortäuschen. Der Empfänger wird aufgefordert, einen QR-Code zu scannen, um ein Dokument einzusehen oder eine Lieferung neu zu terminieren.

Die Analyse von ENKI und KnowBe4 zeigt: Das Scannen des Codes leitet auf eine bösartige Webseite, die Sicherheitsvorkehrungen auf Desktop-Computern umgeht. Der Angriff zwingt die Interaktion auf das oft schlechter geschützte Smartphone. So können Nutzer leichter dazu gebracht werden, Schadsoftware herunterzuladen oder ihre Zugangsdaten preiszugeben. Die Kampagnen verteilten zuletzt Malware, die als App eines Paketdienstes getarnt war.

Diese Strategie erschwert die Abwehr erheblich. Herkömmliche Filter für E-Mails und SMS können bildbasierte Inhalte wie QR-Codes kaum analysieren. Für staatliche Akteure ist dies ein effektiver Weg, um ersten Zugang zu Geräten zu erlangen – die Grundlage für Spionage oder weitere Netzwerkangriffe.

Datenlecks bei Partnern befeuern die Angriffe

Die Präzision dieser Phishing-Angriffe hängt von persönlichen Daten ab, die weiterhin aus Unternehmenshacks strömen. Am 5. Januar bestätigte der Hersteller von Krypto-Hardware-Wallets, Ledger, einen schwerwiegenden Vorfall bei seinem E-Commerce-Partner Global-e.

Während die Ledger-Geräte selbst sicher bleiben, wurden Kundendaten wie Namen, physische Adressen, E-Mails und Telefonnummern gestohlen. Genau diese „Identitätsdaten“ sind der Treibstoff für gezielte SMS-Betrügereien. Angreifer nutzen sie, um personalisierte Nachrichten zu verfassen, die den Empfänger namentlich ansprechen und auf echte Bestellungen verweisen. Das erhöht die Glaubwürdigkeit der Masche massiv.

Der Vorfall bei Global-e, der eine enorme Anzahl von Datensätzen betrifft, unterstreicht die Fragilität digitaler Lieferketten. Selbst sicherheitsbewusste Unternehmen können ihre Kunden durch Schwachstellen bei Drittanbietern gefährden. Die gestohlenen Daten liefern das Rohmaterial für die Macher von Ghost Tap und Quishing, um überzeugende Social-Engineering-Angriffe zu starten.

KI als Gamechanger im Cyberkrieg

Das Zusammenfallen dieser Bedrohungen spiegelt einen größeren Trend wider. Ein Bericht vom 8. Januar hebt die Rolle von „Agentic AI“ hervor. Diese KI kann eigenständig Schwachstellen scannen, Phishing-Nachrichten in Echtzeit anpassen und komplexe Angriffe ohne menschliches Zutun orchestrieren.

Die Einstiegshürde für ausgeklügelte Angriffe sinkt. Automatisierte Systeme generieren kontextbezogene Nachrichten, die Spam-Filter umgehen. Tools wie Ghost Tap machen technische Exploits zur Massenware, die früher nur fortgeschrittenen Hackergruppen vorbehalten war. Der Fokus verschiebt sich von Infrastruktur-Angriffen zum „Missbrauch von Vertrauen“ – der Ausnutzung des Nutzervertrauens in das eigene Handy und bekannte Marken. Dies erfordert ein grundlegendes Umdenken in der Verbraucheraufklärung.

Was kommt auf Verbraucher und Behörden zu?

Experten rechnen im ersten Quartal 2026 mit regulatorischen Reaktionen, die die Sicherheit mobiler Bezahlvorgänge und die Haftung von Drittanbietern in den Blick nehmen. Finanzinstitute werden voraussichtlich den Einsatz von verhaltensbiometrischen Lösungen beschleunigen, um Anzeichen für erzwungene oder automatisierte Interaktionen auf Handys zu erkennen.

Für Verbraucher bedeutet die unmittelbare Zukunft eine Zunahme von „Hybrid“-Angriffen, die Anrufe, SMS und QR-Codes kombinieren. Die Integration von KI in Betrugsoperationen lässt darauf schließen, dass das Volumen dieser Angriffe weiter wachsen wird. „Zero Trust“ – also grundsätzliches Misstrauen – wird damit nicht nur zur Unternehmenspolitik, sondern zur notwendigen Grundhaltung für die persönliche digitale Sicherheit.

PS: Gerade weil Angreifer inzwischen QR‑Codes, gefälschte Apps und KI‑gestützte Phishing‑Texte kombinieren, sollten Sie Ihr Smartphone jetzt schnell absichern. Das kostenlose Ratgeber‑Paket zeigt in klaren Schritten, wie Sie automatische Updates, App‑Berechtigungen und einfache Prüf‑Routinen so einstellen, dass Fremdzugriffe deutlich schwerer werden. Ideal für alle, die Online‑Banking, mobile Bezahldienste und Liefer‑Benachrichtigungen sicher nutzen möchten. Jetzt Android-Schutzpaket per E‑Mail sichern