Predator-Spyware infiziert Smartphones durch Online-Werbung

Keine Klicks nötig: Cybersicherheitsexperten decken auf, wie der kommerzielle Überwachungsanbieter Intellexa Android-Geräte durch manipulierte Werbeanzeigen infiziert – ein alarmierender Quantensprung in der Entwicklung von Spionage-Software.

Die Bedrohung durch staatliche Überwachungssoftware erreicht eine neue Dimension. Wie Google, Amnesty International und Recorded Future gestern bekanntgaben, nutzt die berüchtigte Predator-Spyware jetzt das globale Werbe-Ökosystem als Angriffsfläche. Das Perfide: Opfer müssen nichts anklicken – allein das Laden einer Webseite mit manipulierter Werbung reicht für die Infektion aus.

Diese Entwicklung markiert einen fundamentalen Richtungswechsel bei Überwachungsanbietern. Während bisherige Angriffe wenigstens noch einen Klick auf einen Link per SMS erforderten, funktioniert das neue System namens “Aladdin” vollständig automatisch. Jede normale Webseite mit Werbung wird zur potenziellen Gefahrenquelle.

Viele Android-Nutzer unterschätzen, wie gefährlich bereits das bloße Laden von Werbung sein kann – gerade angesichts der im Artikel beschriebenen Zero‑Day‑Exploits in Chrome. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android-Geräte: automatische Updates, richtige App‑Berechtigungen, sichere Browser‑Einstellungen, geprüfte Apps und Backup‑Strategien. Schritt‑für‑Schritt‑Anleitungen helfen Ihnen, Ihr Smartphone ohne teure Zusatzsoftware abzusichern. Jetzt kostenloses Android-Sicherheitspaket sichern

Das Aladdin-System verwandelt legitime Werbeplattformen in Überwachungswerkzeuge. Laut Analysedokumenten von Amnesty International identifizieren Angreifer ihre Ziele über IP-Adressen oder Werbe-IDs. Anschließend beauftragen sie automatisierte Werbesysteme – sogenannte Demand-Side-Platforms (DSP) –, speziell präparierte Anzeigen genau an diese Geräte auszuliefern.

“Bereits das Betrachten der Werbung genügt, um die Infektion auszulösen”, heißt es im Amnesty-Bericht. Sobald die Anzeige im Browser oder in einer App lädt, startet eine Kette von Exploits, die unbemerkt die Predator-Spyware installiert. Die Software gewährt den Angreifern anschließend Vollzugriff auf Mikrofon, Kamera, Nachrichten und Standortdaten.

Die technische Raffinesse ist bemerkenswert: Das System nutzt die Geschwindigkeit und Intransparenz des Real-Time-Bidding-Prozesses aus, bei dem Werbeplätze in Millisekunden versteigert werden. Milliarden täglich ausgelieferter Anzeigen auf Sicherheit zu überprüfen, überfordert selbst große Plattformen.

Ausnutzung von Chrome- und Android-Sicherheitslücken

Im Zentrum der Angriffe stehen sogenannte Zero-Day-Schwachstellen – Sicherheitslücken, die den Herstellern zum Zeitpunkt der Ausnutzung unbekannt waren. Googles Threat Intelligence Group (GTIG) enthüllte am Mittwoch, dass Intellexa zu den weltweit aktivsten Ausnutzern solcher Lücken gehört.

Besonders problematisch: CVE-2025-13223, eine kritische Schwachstelle in Chromes JavaScript-Engine V8. Google schloss diese Lücke Mitte November 2025, nachdem GTIG die aktive Ausnutzung entdeckt hatte. Die neuen Berichte bestätigen nun ihre zentrale Rolle im Aladdin-System.

Zusätzlich identifizierten Forscher CVE-2025-6554, eine weitere Chrome-Lücke, die bis Juni 2025 bei Angriffen in Saudi-Arabien zum Einsatz kam. Durch Verkettung dieser Browser-Schwachstellen mit Sandbox-Escape-Exploits kann Predator die Schutzumgebung des Browsers durchbrechen und Root-Rechte auf Android-Geräten erlangen.

“Intellexa verantwortet mindestens 15 der 70 Zero-Day-Schwachstellen, die unser Team seit 2021 dokumentiert hat”, erklärte ein Google-Sprecher am 3. Dezember. “Sie demonstrieren wiederholt die Fähigkeit, neue Zero-Day-Exploits zu beschaffen oder zu entwickeln und ihre Operationen trotz Patches schnell anzupassen.”

Globale Opfer trotz US-Sanktionen

Trotz massiver Sanktionen des US-Finanzministeriums im März und September 2024 operiert das Intellexa-Konsortium offenbar ungehindert weiter. Die Untersuchung, durchgeführt in Zusammenarbeit mit Haaretz und Inside Story, deckte ein verzweigtes Netzwerk von Tarnfirmen zur Umgehung regulatorischer Kontrollen auf.

Die Berichte nennen zwei neue Unternehmen: Pulse Advertise und MorningStar TEC, die angeblich in den Vereinigten Arabischen Emiraten und Tschechien operieren. Diese Briefkastenfirmen verschaffen Intellexa Zugang zu den globalen Werbebörsen, die für die Durchführung der Angriffe notwendig sind.

Die Opferliste liest sich wie ein Verzeichnis autokratischer Regime. Amnesty International bestätigte die Infektion eines Menschenrechtsanwalts in Pakistans Provinz Belutschistan Mitte 2025 – der erste dokumentierte Fall von Predator-Angriffen auf die Zivilgesellschaft in Pakistan. Weitere aktive Infektionsherde wurden in Angola, Ägypten, Kasachstan, Saudi-Arabien und Usbekistan identifiziert.

“Die Sanktionen sollten Intellexas Geschäft lahmlegen”, kommentierte ein Forscher von Recorded Futures Insikt Group. “Stattdessen erleben wir ein ‘Whack-a-Mole’-Szenario: Sie lösen eine Firma auf und gründen die nächste, oft in Jurisdiktionen mit lascher Aufsicht, um ihre digitalen Waffen weiter an autoritäre Regime zu verkaufen.”

Das strukturelle Versagen der Werbebranche

Der Schwenk zu Malvertising als primärem Lieferweg für staatliche Spionagesoftware stellt die mobile Sicherheit vor grundlegend neue Herausforderungen. Bisher konzentrierten sich Zero-Click-Angriffe – etwa NSO Groups Pegasus – hauptsächlich auf Messaging-Apps wie iMessage oder WhatsApp. Die Verlagerung auf das Werbe-Ökosystem erweitert die Angriffsfläche dramatisch.

Die Online-Werbebranche basiert auf komplexen Real-Time-Bidding-Protokollen, die in Millisekunden ablaufen. Jede einzelne der täglich milliardenfach ausgelieferten Anzeigen auf Sicherheit zu prüfen, ist praktisch unmöglich. Intellexa hat damit faktisch das Hauptgeschäftsmodell des Internets in ein globales Überwachungsnetzwerk verwandelt.

“Dies ist genauso sehr ein Versagen der Werbebranche wie ein Cybersicherheitsproblem”, betonte ein an der Untersuchung beteiligter Datenschutzaktivist. “Wenn man die granulare Zielgruppenansprache einzelner Personen über IP und Standortdaten in einem intransparenten Auktionssystem erlaubt, baut man die perfekte Infrastruktur für gezielte Überwachung.”

Was Nutzer jetzt tun sollten

Google reagierte mit der sofortigen Schließung der identifizierten Schwachstellen und sperrte die mit Aladdin verbundenen Werbekonten und Domains. Doch das Katz-und-Maus-Spiel dürfte sich 2026 intensivieren.

Sicherheitsexperten prognostizieren steigende Preise für Browser-Zero-Days, da “One-Click”-Angriffe durch erhöhtes Nutzerbewusstsein zunehmend ineffektiv werden. Die Nachfrage nach “Zero-Click”-Vektoren wie Aladdin wird entsprechend wachsen.

Drei Entwicklungen sind wahrscheinlich: schärfere Regulierung der Werbebranche mit strengeren Identitätsprüfungen für Werbetreibende, beschleunigte Browser-Härtung durch Google und andere Anbieter, sowie die fortgesetzte Verbreitung von Überwachungssoftware, solange internationale Sanktionen nicht konsequenter durchgesetzt werden.

Dringende Empfehlung: Nutzer sollten sofort ihre Android-Geräte und Chrome-Browser auf die aktuellsten Versionen updaten, um sich gegen die in diesen Berichten beschriebenen Exploits zu schützen.

PS: Sie nutzen Ihr Android täglich für Banking, Messenger und Navigation? Dann lohnt sich der ergänzende Schutz-Check: Der Gratis-Ratgeber zeigt, welche Einstellungen und Prüfungen zusammenwirken, um Zero‑Click‑Angriffe merklich zu erschweren – von automatischen Update‑Checks über Berechtigungs‑Audits bis zu empfohlenen Browser‑Konfigurationen. Detaillierte Checklisten helfen Ihnen sofort zu prüfen, ob Ihr Gerät angreifbar ist. Jetzt Android-Schutz-Check herunterladen