KI-Malware und Firmware-Angriffe zwingen zum Umdenken

Die Cybersicherheitsbranche steht vor einem Wendepunkt. Neue Schadsoftware nutzt künstliche Intelligenz, um sich auf infizierten Geräten zu verstecken, während tief in der Firmware verankerte Backdoors Tausende Smartphones kompromittieren. Herkömmliche Abwehrmechanismen geraten an ihre Grenzen.

PromptSpy: KI wird zur Waffe für Android-Geräte

Ein neuer Meilenstein in der Cyberkriminalität: Sicherheitsforscher von ESET entdeckten am 19. Februar die Android-Malware PromptSpy. Sie ist die erste bekannte Schadsoftware, die generative KI aktiv in ihrer Ausführung missbraucht. PromptSpy ist eine Weiterentwicklung der bereits bekannten Malware VNCSpy.

Der bösartige Code nutzt Googles Gemini-KI, um die Benutzeroberfläche des kompromittierten Smartphones zu analysieren. Die KI erkennt Bildschirmelemente und gibt der Malware dynamische Anweisungen, um bestimmte Gesten auszuführen. So kann sich die Schad-App in der Liste der zuletzt verwendeten Anwendungen „einklemmen“ und wird weder vom Nutzer noch vom Betriebssystem einfach beendet.

Die Malware wurde mit mittlerer Sicherheit in einem chinesischsprachigen Umfeld entwickelt. Sie tarnt sich als Banking-App und nutzt eine gefälschte spanische Website sowie ein Login-Interface, das der Chase Bank nachempfunden ist. Nach der Installation lädt sie einen angeblichen Update, der den eigentlichen PromptSpy-Code enthält.

Explosionsartiger Anstieg neuer Schadsoftware-Varianten

Parallel zur KI-Offensive explodiert das Volumen neuer Malware. Der jüngste halbjährliche Internet Security Report von WatchGuard Technologies zeigt einen beispiellosen Anstieg. Zwischen dem dritten und vierten Quartal 2025 schnellte die Zahl neuer, einzigartiger Schadprogramme um 1.548 Prozent in die Höhe.

Die Zahlen offenbaren die Schwächen reaktiver, signaturbasierter Sicherheitsmodelle. 23 Prozent der entdeckten Malware umgingen diese traditionellen Erkennungsmechanismen und agierten wie Zero-Day-Bedrohungen. Zudem werden 96 Prozent der blockierten Schadsoftware über verschlüsselte TLS-Verbindungen verbreitet – eine massive Herausforderung für Unternehmen ohne HTTPS-Inspektion.

Angreifer setzen zunehmend auf Windows-Binärdateien und sogenannte Living-off-the-Land-Tools. Sie nutzen vertrauenswürdige, vorinstallierte Systemprozesse, um ihre Payloads auszuführen und sich vor konventionellen Scannern zu verstecken.

Keenadu: Der tiefe Angriff aus der Firmware

Die Bedrohung geht noch tiefer. Sicherheitsexperten von Kaspersky analysierten im Februar den Android-Backdoor Keenadu. Diese Malware infiziert Geräte bereits während der Firmware-Erstellung oder über kompromittierte Over-the-Air-Updates. Sie wird beim Start jeder Applikation geladen und gibt den Angreifern uneingeschränkte Fernkontrolle über das Smartphone oder Tablet.

Weltweit sind fast 14.000 Geräte betroffen, mit Schwerpunkten in Deutschland, den Niederlanden, Russland und Japan. Keenadu wird primär für Betrug mit Werbung, die Manipulation von Browsersuchmaschinen und das Monetarisieren gefälschter App-Installationen genutzt. Die Malware ist mit mehreren großen, kostengünstigen Android-Botnetzen verbunden.

Viele Android-Nutzer unterschätzen, wie gefährlich versteckte Malware in Apps und Firmware sein kann. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone – inklusive einfacher Schritt‑für‑Schritt‑Anleitungen zu sicheren App‑Einstellungen, Update‑Kontrolle und wie Sie Banking‑Apps schützen. Gratis-Ratgeber: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone herunterladen

Dieser Fokus auf Heimlichkeit prägt die moderne Cyberkriminalität. Aktuelle Kampagnen sind darauf ausgelegt, leise neben normalen Anwendungen zu laufen. Statt sofortiger Systemausfälle zielen sie auf langfristigen Zugriff ab. Durch die Interaktion mit legitimen Prozessen und das Überleben von Neustarts extrahieren Angreifer kontinuierlich Wert aus kompromittierten Netzwerken, ohne Alarm auszulösen.

Paradigmenwechsel: Von der Signatur- zur Verhaltensanalyse

Die Konvergenz aus KI-gestützter Malware, Firmware-Angriffen und der Flut an Zero-Day-Varianten erfordert ein grundlegendes Umdenken. Statische Abwehrmaßnahmen reichen nicht mehr aus.

Die erfolgreiche Nutzung von Tools wie PromptSpy zeigt, wie Angreifer die technischen Hürden für komplexe Verschleierungstechniken senken. Während maschinelles Lernen bisher für automatisierte Werbebetrug genutzt wurde, ist der Einsatz generativer KI zur kontextbewussten Manipulation der Benutzeroberfläche eine neuartige Entwicklung. Sie erhöht die Anpassungsfähigkeit der Schadsoftware erheblich.

Sicherheitsexperten betonen, dass der Schutz vor diesen Bedrohungen einen Übergang zu verhaltensbasierter und KI-gestützter Abwehr erfordert. Da moderne Malware Identitäten, Automatisierung und menschliches Verhalten ausnutzt, um schneller zu sein als statische Regeln aktualisiert werden können, sind mehrschichtige Verteidigungssysteme nötig. Die Erkennung von Anomalien in Prozessbeziehungen und die Überwachung unerwarteter Skriptausführungen werden zu kritischen Komponenten einer robusten Sicherheitsstrategie.

Ausblick: Der Kampf gegen autonome Cyberangriffe

Die Integration künstlicher Intelligenz in offensive und defensive Cybersicherheitsoperationen wird sich beschleunigen. In den kommenden Monaten ist mit einem Anstieg autonomer, KI-fähiger Malware zu rechnen, die ihr Verhalten in Echtzeit anpasst, um die Entdeckung ohne menschliches Zutun zu vermeiden.

Unternehmen müssen daher verstärkt in kontinuierliche Überwachung, professionelle Threat Hunting und Zero-Trust-Architekturen investieren. Die Fähigkeit, den Gegner auszulernen, statt nur bekannte Bedrohungen zu blockieren, wird zum entscheidenden Faktor für Cyber-Resilienz. Da die Grenzen zwischen legitimen Administrations-Tools und bösartigen Aktivitäten weiter verschwimmen, sind umfassende Transparenz und strenge Zugangskontrollen unverzichtbar.