Android-Sicherheit: KI-Malware und Firmware-Backdoor bedrohen Millionen

Die mobile Sicherheitslandschaft erlebt eine gefährliche Evolution: Zwei neue, hochsophistische Android-Bedrohungen setzen auf Künstliche Intelligenz und tiefe System-Infiltration. Für Nutzer und Hersteller wird die Abwehr immer komplexer.

In einer alarmierenden Doppelentdeckung haben Sicherheitsforscher zwei neue Android-Bedrohungen aufgedeckt, die das mobile Ökosystem an seinen empfindlichsten Punkten angreifen. Während der Trojaner "PromptSpy" erstmals eine generative KI für seine Angriffe nutzt, zeigt das tief in der Firmware verankerte Backdoor "Keenadu", wie verwundbar die Lieferkette ist. Gemeinsam markieren sie eine neue Ära anpassungsfähiger und nahezu unsichtbarer Schadsoftware.

Angesichts solch raffinierter KI-Trojaner wie PromptSpy ist ein Basisschutz für das eigene Smartphone wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, mit welchen fünf einfachen Schritten Sie Ihr Android-Gerät effektiv vor Zugriffen durch Datendiebe schützen können. 5 sofort umsetzbare Schutzmaßnahmen entdecken

PromptSpy: Der erste Android-Trojaner mit KI-Hirn

Forscher von ESET haben mit PromptSpy einen neuartigen Schädling identifiziert, der Google's Gemini-KI für seine Zwecke missbraucht. Es ist der erste dokumentierte Fall, in dem ein Android-Trojaner generative KI einsetzt, um sein Verhalten dynamisch anzupassen und sich dauerhaft auf einem Gerät zu verankern.

Die KI hilft der Malware dabei, sich in der Liste der zuletzt verwendeten Apps "festzupinnen" – ein simpler, aber effektiver Trick. PromptSpy macht dafür einen Screenshot und sendet ihn mit einer Sprachaufforderung an die Gemini-KI. Diese antwortet mit Schritt-für-Schritt-Anleitungen, welche Taps oder Gesten nötig sind, um die schädliche App zu fixieren. Dieser KI-gesteuerte Ansatz überwindet ein großes Problem traditioneller Malware: Er funktioniert unabhängig von Android-Version, Hersteller-UI oder Bildschirmlayout.

Sein eigentliches Ziel ist jedoch gravierender: PromptSpy installiert ein VNC-Modul (Virtual Network Computing), das Angreifern vollen Fernzugriff auf das kompromittierte Gerät verschafft. Sie können den Bildschirm sehen, Aktionen ausführen, Videos aufzeichnen, Sperrbildschirm-Daten abgreifen und sogar Deinstallationsversuche blockieren.

Keenadu: Der unsichtbare Eindringling in der Firmware

Parallel dazu melden Kaspersky-Experten einen noch tiefer sitzenden Feind: Keenadu. Dieses mächtige Backdoor ist nicht als App installiert, sondern direkt in die Firmware zahlreicher Android-Tablets eingebettet – teils schon während der Herstellung oder via manipulierter OTA-Updates. Ein kompromittierter Eintrittspunkt in der Lieferkette, noch bevor das Gerät den Käufer erreicht.

Da Keenadu auf Firmware-Ebene operiert, wird es in den Adressraum jeder gestarteten App geladen. Das verleiht ihm umfassende Kontrolle und macht ihn für herkömmliche Sicherheits-Apps unerreichbar. Bisher nutzen die Betreiber diese Macht vor allem für Ad-Betrug: Sie kapern die Suchmaschine im Browser, monetarisieren neue App-Installationen und klicken unbemerkt auf Werbeanzeigen. Die Forscher haben Infektionen auf rund 13.000 Geräten nachgewiesen, die Dunkelziffer dürfte höher liegen.

Da herkömmliche Sicherheits-Apps gegen tief verwurzelte Bedrohungen wie Keenadu oft machtlos sind, hilft nur eine proaktive Absicherung der eigenen Anwendungen. Wie Sie WhatsApp, Online-Banking und PayPal ohne teure Zusatz-Apps absichern, erfahren Sie in diesem kostenlosen Sicherheitspaket mit praktischen Checklisten. Kostenlosen Sicherheits-Ratgeber herunterladen

Verbreitung: Gezielter Betrug vs. globale Infiltration

Die Verbreitungswege der beiden Bedrohungen könnten unterschiedlicher nicht sein:
* PromptSpy tauchte bisher nur in Proben aus Argentinien auf. Verbreitet wird er über eine Dropper-App namens "MorganArg", die eine Finanzinstitution imitiert. Debug-Strings in vereinfachtem Chinesisch deuten auf Entwickler aus diesem Sprachraum hin. Die begrenzte Verbreitung legt nahe, dass es sich noch um einen Proof of Concept oder eine Testphase handelt.
* Keenadu ist dagegen global präsent. Infizierte Geräte wurden vor allem in Russland, Japan, Deutschland, Brasilien und den Niederlanden entdeckt. Die Malware verbreitete sich auch über Apps im Google Play Store, darunter getarnte Smart-Camera-Apps mit über 300.000 Installationen, bevor sie entfernt wurden.

Was bedeutet das für die Zukunft der Cybersicherheit?

Die zeitgleiche Entdeckung von PromptSpy und Keenadu unterstreicht zwei kritische Trends:
1. Der KI-Durchbruch bei Malware: PromptSpy ist ein Wendepunkt. Indem Angreifer die UI-Navigation an eine KI auslagern, wird Schadsoftware anpassungsfähiger und widerstandsfähiger. Die Schwelle für komplexe, weit verbreitete Angriffe sinkt. Es ist bereits der zweite bekannte Fall von KI-gesteuerter Malware nach der "PromptLock"-Ransomware von 2025.
2. Das anhaltende Lieferketten-Problem: Keenadu zeigt die Ohnmacht nutzerseitiger Sicherheitsmaßnahmen gegen Firmware-Angriffe. Nutzer kaufen ahnungslos kompromittierte Hardware, die sich auch durch einen Werksreset nicht reinigen lässt. Die Verantwortung verlagert sich damit stark auf die Hersteller und ihre Lieferanten.

Für die Sicherheitsbranche wird die Herausforderung größer. Lösungen müssen intelligenter werden, um mit KI-gesteuerten Angriffen Schritt zu halten. Gegen Firmware-Bedrohungen hilft letztlich nur die präventive Sicherung der gesamten Produktions- und Vertriebskette.

Was können Nutzer tun?

Die grundlegenden Sicherheitsregeln behalten ihre Gültigkeit, gewinnen aber an Dringlichkeit:
* Geräte nur von vertrauenswürdigen Marken und Händlern kaufen.
* Apps ausschließlich aus offiziellen Stores wie dem Google Play Store beziehen.
* Vorsicht bei angeforderten Berechtigungen und undurchsichtigen App-Funktionen.
* Sicherheitsupdates sofort installieren.

Für von Keenadu betroffene Nutzer gibt es kaum einfache Auswege. Oft bleibt nur die Installation einer sauberen Firmware von einer vertrauenswürdigen Quelle – oder im Extremfall der Austausch des Geräts. Die Ära der simplen Handy-Viren ist endgültig vorbei.