Android-Malware: Keenadu und PromptSpy bedrohen Millionen Nutzer

Zwei hochgefährliche Schadprogramme setzen neue Maßstäbe für mobile Cyberangriffe. Während Keenadu über die Lieferkette in Geräte-Firmware eingeschleust wird, nutzt PromptSpy erstmals generative KI, um sich auf Smartphones zu verstecken. Diese parallelen Entwicklungen markieren eine gefährliche Eskalation für die Sicherheit des Android-Ökosystems.

Die Entdeckungen der letzten 72 Stunden zeigen, wie Angreifer konventionelle Sicherheitsmaßnahmen aushebeln. Der Keenadu-Backdoor wurde tief in der Firmware einiger Android-Tablets verankert, was eine Entfernung auf normalem Weg nahezu unmöglich macht. Zeitgleich demonstriert PromptSpy eine neue Angriffsdimension: Künstliche Intelligenz macht Schadsoftware anpassungsfähiger und widerstandsfähiger gegen Löschversuche. Für Hersteller und Nutzer bedeutet dies eine kritische Zäsur.

Keenadu: Der Albtraum aus der Lieferkette

Das Sicherheitsunternehmen Kaspersky hat den Keenadu-Backdoor analysiert, der auf tausenden Android-Geräten gefunden wurde. Das Besondere: Die Malware wurde bereits bei der Herstellung in die Firmware von Tablets kleinerer Hersteller integriert. Nutzer kaufen damit Geräte, die bereits beim Auspacken kompromittiert sind.

Bisher wurde Keenadu auf rund 13.000 Geräten nachgewiesen, mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden. Sein Hauptzweck ist Betrug mit Werbung – er kapert Browser-Suchen, generiert Klicks auf Anzeigen und verdient an App-Installationen. Einige Varianten gewähren Angreifern jedoch vollständige Fernsteuerung über das infizierte Gerät. Damit sind alle persönlichen Daten in Gefahr: Nachrichten, Bankzugänge, Standortinformationen.

Die tiefe Systemintegration erreicht Keenadu, indem er sich in jede gestartete App einschleust. Möglich wird dies durch seine Position in der Kern-Firmware. Neben der Vorinstallation verbreitete sich die Malware auch über drahtlose Updates und Apps im offiziellen Google Play Store. Infizierte „Smart Camera“-Apps wurden dort über 300.000 Mal heruntergeladen, bevor sie entfernt wurden.

PromptSpy: KI-gesteuerte Malware bricht alle Regeln

In einer separaten, ebenso alarmierenden Entwicklung identifizierten ESET-Forscher „PromptSpy“. Es ist die erste bekannte Android-Malware, die generative KI für ihre Angriffe missbraucht. Der Schadcode nutzt Prompts für Googles Gemini-KI-Modell, um sein bösartiges Ziel zu erreichen: dauerhaft auf dem Gerät zu verbleiben.

Durch den Einsatz von KI zur Navigation in Benutzeroberflächen kann sich PromptSpy an verschiedene Gerätelayouts und Android-Versionen anpassen. Das erweitert den Kreis potenzieller Opfer erheblich. Die Malware, die sich noch in einem Proof-of-Concept-Stadium zu befinden scheint, zielt derzeit vor allem auf Nutzer in Argentinien ab – offenbar aus finanziellen Motiven.

Sie tarnt sich als Banking-App „MorganArg“, um umfangreiche Berechtigungen zu erschleichen. Einmal aktiv, missbraucht PromptSpy die Barrierefreiheits-Dienste (Accessibility Services) von Android, um Sperrbildschirm-Daten abzugreifen, Bildschirmaktivitäten aufzuzeichnen, Screenshots zu machen und Deinstallationsversuche zu blockieren. Die KI sorgt dafür, dass die App in der Liste der zuletzt verwendeten Apps „gesperrt“ bleibt. Die einzig wirksame Entfernungsmethode ist ein Neustart des Geräts im abgesicherten Modus.

Branchenweite Implikationen: Zwei bedrohliche Trends

Die Doppelentdeckung unterstreicht zwei kritische Cybersecurity-Trends. Keenadu erinnert schmerzhaft an die Verwundbarkeit globaler Technologie-Lieferketten. Ist Malware erst auf Firmware-Ebene eingebettet, sind traditionelle Sicherheits-Apps oft machtlos. Die Verantwortung liegt dann bei den Herstellern, die Integrität ihrer Komponenten zu gewährleisten. Dieser Angriff erinnert an den Triada-Backdoor, der ebenfalls vorinstalliert auf Geräten gefunden wurde. Forscher sehen Verbindungen zwischen Keenadu und großen Botnetzen wie BadBox – ein Hinweis auf die Zusammenarbeit verschiedener Cyberkrimineller.

PromptSpy hingegen bedeutet einen Paradigmenwechsel im Malware-Design. Während frühere Schadprogramme auf vorprogrammierte Skripte setzten, ermöglicht die generative KI dynamische Anpassung. Das macht die Malware robuster und schwerer abzuwehren. Es ist bereits der zweite KI-gesteuerte Schadcode, den ESET entdeckt, nach der Ransomware „PromptLock“ im Jahr 2025. Die Entwicklung zeigt: Bedrohungsakteure erforschen aktiv, wie sie mit KI die Wirkung und Reichweite ihrer Kampagnen steigern können.

Schutzmaßnahmen: Was Nutzer jetzt tun können

Gegen diese Bedrohungen hilft nur ein mehrschichtiger Sicherheitsansatz. Bei Firmware-Malware wie Keenadu liegt die Hauptlast bei den Hardware-Herstellern. Verdächtigen Nutzer, dass ihr Gerät infiziert sein könnte, bleibt oft nur die Installation einer sauberen Firmware von einer vertrauenswürdigen Quelle – oder im Extremfall der Austausch des Geräts.

Wer sich vor immer raffinierteren mobilen Angriffen wie Keenadu oder KI‑gesteuerten Schadprogrammen schützen möchte, findet praxisnahe Maßnahmen im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt technische und organisatorische Schritte — von sicheren Update‑Routinen bis zu einfachen Regeln für App‑Berechtigungen — und richtet sich an Nutzer und IT‑Verantwortliche gleichermaßen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Gegen Bedrohungen wie PromptSpy und andere bösartige Apps helfen strenge Sicherheitspraktiken:
* Apps ausschließlich aus dem offiziellen Google Play Store herunterladen.
* App-Berechtigungen vor der Erteilung kritisch prüfen.
* Besonders misstrauisch sein bei Apps, die umfangreichen Zugriff – insbesondere auf Barrierefreiheits-Dienste – verlangen.
* Das Android-Betriebssystem und alle Apps stets aktuell halten, da Updates oft kritische Sicherheitslücken schließen.

Je raffinierter die Angriffstechniken werden, desto wichtiger werden robuste Mobile-Security-Lösungen und die Aufklärung der Nutzer.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.