Googles größtes Android-Update seit Jahren bekämpft KI-Malware

Google hat die umfangreichsten Sicherheits-Updates für Android seit fast acht Jahren veröffentlicht. Der Grund: Eine gefährliche Mischung aus einer aktiv ausgenutzten Chip-Schwachstelle, KI-gesteuerter Malware und Viren, die schon ab Werk auf neuen Geräten lauern.

Kritische Zero-Day-Lücke in Milliarden von Chips

Im Zentrum des März-Updates steht eine kritische Zero-Day-Schwachstelle mit der Kennung CVE-2026-21385. Der Fehler steckt in einer Open-Source-Grafikkomponente des Chipherstellers Qualcomm. Ein Integer-Überlauf kann zu Speicherbeschädigungen führen, wenn bestimmte Nutzerdaten verarbeitet werden.

Angesichts kritischer Sicherheitslücken in Milliarden von Chips ist der Schutz sensibler Anwendungen wie Online-Banking oder WhatsApp wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Datenklau und Schadsoftware absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Das Brisante: Die Lücke betrifft 234 verschiedene Qualcomm-Chipsätze. Diese stecken in der überwältigenden Mehrheit aller Android-Smartphones und -Tablets weltweit. Google bestätigt, dass die Schwachstelle bereits in gezielten Angriffen ausgenutzt wird. Solche Attacken werden häufig mit kommerzieller Spyware in Verbindung gebracht, die auf hochrangige Zielpersonen abzielt.

Die US-Cybersicherheitsbehörde CISA hat die Lücke bereits in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen. Alle US-Bundesbehörden müssen die Patches bis zum 24. März 2026 einspielen. Der Druck auf Hersteller und Nutzer, schnell zu aktualisieren, ist enorm.

KI-Malware „PromptSpy“ lernt von der Geräte-Oberfläche

Parallel zu Hardware-Problemen taucht eine neue Generation von Software-Bedrohungen auf. Sicherheitsforscher von ESET haben die Android-Malware „PromptSpy“ analysiert. Sie ist die erste bekannte Schadsoftware, die generative KI in ihren Ablauf integriert.

PromptSpy nutzt Googles eigenes Gemini-KI-Modell, um die Benutzeroberfläche des infizierten Geräts dynamisch zu analysieren. Die Malware sendet Bildschirmdaten an die KI. Diese liefert dann Schritt-für-Schritt-Anweisungen, wie die App-Oberfläche manipuliert werden muss, um die Schadsoftware in der Liste der zuletzt verwendeten Apps anzuheften.

Da herkömmliche Updates allein oft nicht ausreichen, um sich gegen neuartige KI-gesteuerte Malware zu wehren, empfehlen Experten zusätzliche Sicherheitsvorkehrungen. Erfahren Sie in diesem Gratis-Leitfaden, welche fünf Maßnahmen Ihr Smartphone spürbar sicherer machen und eine häufig unterschätzte Lücke schließen. Kostenlosen Sicherheits-Ratgeber herunterladen

Dieser KI-gesteuerte Mechanismus verhindert, dass das System oder der Nutzer die App einfach beenden können. Experten sehen darin einen Paradigmenwechsel. Bisher mussten Angreifer starren Code für jede Gerätekonfiguration schreiben. Jetzt passt sich die Malware via KI automatisch an fast jede Android-Umgebung an. PromptSpy kann den Bildschirm aufzeichnen und das Gerät fernsteuern.

Viren ab Werk: Die Gefahr aus der Lieferkette

Die dritte Bedrohung kommt direkt vom Hersteller. Forscher von Kaspersky entdeckten den Backdoor „Keenadu“, der in der Firmware tausender günstiger Android-Tablets vorinstalliert war. Die Schadsoftware wurde während des Herstellungs- oder Lieferprozesses eingeschleust.

Nutzer waren also kompromittiert, noch bevor sie das Gerät das erste Mal einrichteten. Weltweit waren über 13.000 Geräte infiziert, mit Schwerpunkten in Europa, Japan und Südamerika. Da Keenadu auf Firmware-Ebene läuft, hat er erhöhte Systemrechte. Angreifer erhalten so uneingeschränkte Kontrolle – sie können weitere Software installieren und sogar Suchanfragen im Inkognito-Modus überwachen.

Das zeigt: Mobile Sicherheit hängt nicht mehr nur vom vorsichtigen Nutzerverhalten ab. Die Lieferkette selbst ist ein Einfallstor geworden.

Googles Gegenmaßnahmen und der Wettlauf der KIs

Google reagiert auf die eskalierende Bedrohungslage mit ausgeweiteten Schutzmaßnahmen. Google Play Protect, das integrierte Sicherheitssystem, scannt inzwischen täglich hunderte Milliarden Apps. Gleichzeitig startete im März 2026 ein neuer Verifizierungsprozess für Entwickler.

Wer Apps außerhalb des offiziellen Play Stores verbreiten will, muss nun seine Identität nachweisen. Dies soll die Anonymität beenden, die es Angreifern erlaubt, Malware in großem Stil zu verteilen. Für Analysten ist dies ein wichtiger Schritt, um insbesondere in Regionen mit vielen Banking-Trojanern mehr Rechenschaftspflicht durchzusetzen.

Die Konvergenz aus Hardware-Lücken, KI-Malware und Lieferketten-Angriffen markiert eine neue Reife des Cyberkriminellen-Ökosystems. Die Einführung generativer KI in Schadsoftware senkt die technische Hürde für Angreifer deutlich. Das zwingt Sicherheitsanbieter, ihre eigenen KI-gestützten Verhaltensanalysen massiv auszubauen. Signaturbasierte Erkennung wird gegen dynamisch anpassende Bedrohungen wie PromptSpy immer wirkungsloser.

Der Blick in die Zukunft zeigt: Die mobile Sicherheitslandschaft wird zum Schlachtfeld konkurrierender KI-Systeme. Angreifer werden KI künftig nicht nur für Persistenz, sondern für automatisierte Social-Engineering-Angriffe und Echtzeit-Datenextraktion nutzen. Für Unternehmen und Privatnutzer bleibt die oberste Priorität jedoch simpel: Die März-2026-Sicherheitsupdates umgehend installieren.