Android-Malware: KI-gesteuerte Spionage und Firmware-Backdoor

Zwei neue Schadsoftware-Familien bedrohen Android-Geräte weltweit. Während „Keenadu“ bereits in der Firmware von Tablets steckt, nutzt „PromptSpy“ erstmals generative KI, um sich zu verstecken.

In einer alarmierenden Entwicklung für die mobile Sicherheit haben Cybersicherheitsforscher zwei neue, hochgefährliche Android-Schadprogramme enttarnt. Die eine Variante, „Keenadu“, wurde tief in der Firmware von Tablet-Geräten verschiedener Hersteller entdeckt – eine Kompromittierung, die schon vor dem Verkauf stattfindet. Die andere, „PromptSpy“, markiert eine neue Bedrohungsära: Es ist die erste bekannte Malware, die generative Künstliche Intelligenz nutzt, um sich besser zu tarnen und auf infizierten Geräten zu halten.

Angesichts immer raffinierterer Methoden von Datendieben ist der Basisschutz Ihres Smartphones wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und Co. mit einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Diese Funde unterstreichen die rasante und vielschichtige Entwicklung von Bedrohungen im globalen Android-Ökosystem. Während eine Attacke Schwachstellen in der Hardware-Lieferkette ausnutzt, zeigt die andere, wie Angreifer Spitzentechnologie für kriminelle Zwecke kapern. Die Erkenntnisse der Sicherheitsfirmen Kaspersky und ESET belegen die anhaltende Herausforderung, Mobilgeräte gegen immer raffiniertere und tiefer integrierte Schadsoftware zu schützen.

„Keenadu“: Der unsichtbare Backdoor aus der Lieferkette

Die Experten von Kaspersky identifizierten den Backdoor Keenadu, der direkt in die Firmware verschiedener Android-Tablets eingeschleust wird. Diese Angriffsmethode ist besonders tückisch: Die Geräte werden bereits während der Fertigung oder Software-Erstellung kompromittiert, lange bevor ein Nutzer sie einschaltet. Die Malware injiziert sich in einen zentralen Android-Prozess. So kann sie sich in jede gestartete App laden und den Angreifern umfangreiche Kontrolle verschaffen.

Das Hauptziel von Keenadu scheint Betrug mit Werbeeinnahmen zu sein. Module der Malware kapern Browser-Suchmaschinen, überwachen neue App-Installationen für betrügerische Klicks und manipulieren Werbekomponenten. Neben der Vorinstallation wurde Keenadu auch über App-Stores wie Google Play und Xiaomis GetApps verbreitet – getarnt als Smart-Kamera-Apps. Diese täuschenden Apps wurden über 300.000 Mal heruntergeladen, bevor sie entfernt wurden. Kaspersky detektierte Keenadu auf rund 13.000 Geräten, mit Schwerpunkten in Ressourcen, Japan, Deutschland, Brasilien und den Niederlanden.

„PromptSpy“: Wenn Malware KI zum Verstecken nutzt

In einer separaten, ebenso besorgniserregenden Entwicklung entdeckten ESET-Forscher PromptSpy. Diese neuartige Malware missbraucht Googles Gemini-KI als Kernstück ihrer Strategie, um anpassungsfähiger zu werden und auf dem Gerät zu verbleiben. Konkret analysiert die KI die Benutzeroberfläche des Smartphones. Anschließend generiert sie Schritt-für-Schritt-Anleitungen, wie sich die Schad-App in der Übersicht der zuletzt verwendeten Apps „verriegeln“ lässt – ein Feature, das oft durch ein Vorhängeschloss-Symbol dargestellt wird und das einfache Schließen der App verhindert.

Diese KI-Nutzung ermöglicht es der Malware, sich an verschiedenste Gerätelayouts und Android-Versionen anzupassen. Das vergrößert den Kreis potenzieller Opfer erheblich. Das Hauptziel von PromptSpy ist die Installation eines Fernzugriffsmoduls (VNC), das Angreifern die vollständige Kontrolle über das Gerät aus der Ferne gibt. Die Fähigkeiten umfassen das Ausspähen von Sperrbildschirm-Daten, das Blockieren von Deinstallationsversuchen mit unsichtbaren Overlays, das Erstellen von Screenshots und das Aufzeichnen des Bildschirms. Hinweise deuten auf eine Entwicklung in einem chinesischsprachigen Umfeld hin. Verbreitet wird PromptSpy über eine eigene Website, nicht über Google Play. Die finanziell motivierte Kampagne zielt bisher vor allem auf Nutzer in Argentinien ab.

Da herkömmliche Sicherheits-Updates oft nicht ausreichen, um komplexe Sicherheitslücken zu schließen, empfiehlt dieser Experten-Leitfaden zusätzliche Prüfroutinen für Ihr Gerät. Erfahren Sie in der kostenlosen Anleitung, wie Sie Ihr Android-System ohne teure Zusatz-Apps spürbar sicherer machen. Kostenlosen Sicherheits-Ratgeber herunterladen

Die größeren Implikationen für Android-Sicherheit

Das gleichzeitige Auftauchen von Keenadu und PromptSpy zeichnet ein beunruhigendes Bild der aktuellen Bedrohungslage. Der Keenadu-Backdoor offenbart gravierende Schwachstellen in der globalen Geräte-Lieferkette. Ist Malware erst auf Firmware-Ebene eingebettet, umgeht sie viele traditionelle Sicherheitsmaßnahmen. Für den Durchschnittsnutzer ist sie extrem schwer zu entfernen – oft ist nur eine komplette Neuinstallation der Firmware oder sogar ein Gerätetausch hilfreich. Forscher fanden zudem Verbindungen zwischen Keenadu und großen Botnetz-Operationen wie Triada und BadBox. Das deutet auf ein größeres, vernetztes Cyberkriminalitäts-Ökosystem hin.

PromptSpy hingegen markiert einen Paradigmenwechsel im Malware-Design. Durch die Integration generativer KI haben seine Entwickler eine widerstandsfähigere und vielseitigere Bedrohung geschaffen. Diese Innovation könnte einen neuen Trend einläuten: Malware, die sich dynamisch an Sicherheitsabwehren und verschiedene Gerätekonfigurationen anpasst. Das stellt Erkennungs- und Bereinigungstools vor immense Herausforderungen. Zwar bietet Google Play Protect für die meisten Nutzer einen starken Schutz. Doch Bedrohungen wie PromptSpy, die alternative Verbreitungswege nutzen, erfordern erhöhte Wachsamkeit der Anwender.

Die Zukunft: KI-getriebene Angriffe und wie Sie sich schützen

Die Nutzung von KI in Schadsoftware steckt wahrscheinlich noch in den Kinderschuhen. Sie könnte sich weiterentwickeln, um komplexere Aufgaben zu automatisieren – von Social Engineering bis zur Umgehung von Erkennungsmechanismen. Auch Lieferketten-Angriffe bleiben eine hochwirksame Bedrohung, gegen die sich Endnutzer kaum direkt schützen können.

Um geschützt zu bleiben, sollten Android-Nutzer folgende Maßnahmen beachten:

• App-Berechtigungen prüfen: Seien Sie misstrauisch bei Apps, die übermäßige Berechtigungen fordern, insbesondere den Zugriff auf Barrierefreiheits-Dienste.
• Unoffizielle Quellen meiden: Laden Sie Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store herunter.
• Geräte aktuell halten: Installieren Sie Sicherheitsupdates und System-Updates sofort nach deren Verfügbarkeit.
• Hersteller recherchieren: Bevorzugen Sie Marken mit nachgewiesener Historie regelmäßiger und langfristiger Sicherheitsunterstützung.

In einer immer komplexeren digitalen Welt hängt die Sicherheit mobiler Geräte zunehmend von einem Dreiklang ab: der Sorgfalt der Hersteller, moderner Sicherheitsforschung und einem informierten Nutzerverhalten.