Fußball-WM 2026: Cyberangriffe zielen auf die Mobilgeräte der Fans ab

Gefälschte Streaming-Apps, die Bankdaten stehlen

Ein Anstieg bösartiger Streaming-Apps, die insbesondere das beliebte RojaDirecta imitieren, wurde bereits rund um das jüngste Champions-League-Finale beobachtet, und Forscher erwarten eine Wiederholung in größerem Umfang während der WM.

Tatsächlich nehmen seit mehreren Monaten als Streaming-Apps getarnte Android-Banking-Trojaner stetig zu. Im Februar 2026 wurde der Trojaner Massiv in gefälschten Apps identifiziert, die auf Frankreich, Spanien, Portugal und die Türkei abzielten. Die Apps imitieren die Oberfläche legitimer Dienste, während sie gefälschte Banking-Anmeldebildschirme einblenden, Tastatureingaben aufzeichnen und die Fernsteuerung des Geräts übernehmen.

Im März wurde ein fortschrittlicherer Trojaner, Perseus, ebenfalls entdeckt. Basierend auf dem Quellcode des berüchtigten Cerberus, treibt er die Spionage noch weiter: Über die klassischen Fähigkeiten zum Bankdatendiebstahl hinaus liest Perseus den Inhalt von Notiz-Apps (Google Keep, Samsung Notes, Evernote, OneNote…), um Passwörter und Krypto-Wiederherstellungsphrasen zu extrahieren.

Und im Mai 2026 wurde eine weitere Malware, BTMOB, in gefälschten Streaming-Apps identifiziert, die Zugang zu WM-Spielen versprachen. Diesmal als Malware-as-a-Service vertrieben, macht sie diese Art von Angriff auch für Cyberkriminelle ohne fortgeschrittene technische Kenntnisse zugänglich.

Phishing, das FIFA perfekt kopiert

Auch die Phishing-Kampagnen nehmen im Vorfeld der WM zu. Seit Januar 2026 wurden fast 19.000 Domains mit FIFA-Bezug erstellt, die Phishing-Kampagnen befeuern, welche darauf abzielen, Zugangsdaten und Zahlungsinformationen von Fans zu sammeln, die nach Tickets und Merchandising suchen.

Im Zentrum dieser Infrastruktur steht eine Gruppe namens Ghost Stadium, die mehr als 300 Phishing-Seiten betreibt, die mit einem einzigen Kit das Authentifizierungssystem von FIFA identisch nachbilden. Die Seiten laden Bilder direkt von den offiziellen FIFA-Servern, was sie nahezu unentdeckbar macht.

Wenn das Opfer seine Zugangsdaten eingibt, fängt der Angreifer diese ab und löst gleichzeitig eine Passwortzurücksetzung aus, um das echte Konto zu sperren, so kann er die damit verbundenen legitimen Tickets weiterverkaufen.

Soziale Medien als mobiler Infektionsvektor

Gefälschte Apps und Phishing-Links werden über massive Kampagnen in sozialen Medien verbreitet. Mehr als 1.700 gefälschte FIFA-Konten wurden identifiziert, fast 90 % davon auf Facebook und Instagram. Gesponserte Beiträge bewerben gefälschte Streaming-Angebote, „kostenlose" Wetten oder fiktive WM-bezogene Stellenangebote.

Auf Telegram leiten Gruppen zum Weiterverkauf gefälschter Tickets auf betrügerische Zahlungsportale um. In jedem Fall ist der Mechanismus derselbe: ein Link, der das Opfer aus der sozialen App heraus auf eine externe bösartige Seite führt : ein gefälschtes FIFA-Portal, eine Download-Seite für eine infizierte APK oder ein betrügerisches Zahlungsformular.

Wie Pradeo vor diesen Bedrohungen schützt

Die Angriffe rund um die WM nutzen dieselben Vektoren wie alltägliche mobile Bedrohungen, jedoch in deutlich erhöhtem Umfang und Intensität.

Pradeo Mobile Threat Defense schützt mobile Endgeräte gegen jeden dieser Vektoren:

• Erkennung bösartiger Anwendungen
  Pradeo erkennt gefälschte Streaming-Apps und Banking-Trojaner, die außerhalb der offiziellen Stores installiert wurden, und identifiziert bösartiges Verhalten (Missbrauch von Barrierefreiheitsdiensten, Bildschirmüberlagerung, Datenexfiltration), bevor es Schaden anrichten kann.
• Schutz vor Phishing
  Die Lösung erkennt und blockiert bösartige Links, die per SMS, Messaging-Apps, sozialen Medien und QR-Codes empfangen werden, und verhindert den Zugang zu gefälschten FIFA-Ticketseiten und betrügerischen Zahlungsportalen.
• Erkennung riskanter Konfigurationen
  Pradeo identifiziert Endgeräte, deren Konfiguration Angriffe begünstigt (unbekannte Quellen zugelassen, Entwicklermodus aktiviert),  die Voraussetzungen, die von gefälschten Streaming-Apps zur Installation ausgenutzt werden.
  
  

Ein globales Ereignis, eine globale mobile Angriffsfläche

Große Sportereignisse sind Beschleuniger mobiler Bedrohungen. 150 Millionen Ticketanfragen für 6 Millionen Plätze, Millionen von Fans, die auf ihrem Smartphone nach Streams suchen, Dringlichkeit und Knappheit, die zum schnellen Handeln drängen, ideale Bedingungen für Cyberkriminelle. Für Organisationen, deren Mitarbeiter ihre beruflichen Endgeräte außerhalb des Büros nutzen, ist die kommende Zeit eine Risikophase.