PromptSpy: Android-Malware nutzt erstmals Googles KI

Eine neue Android-Schadsoftware missbraucht Googles KI-Modell Gemini, um Smartphones zu übernehmen. Sicherheitsforscher von ESET entdeckten den Trojaner in dieser Woche und warnen vor einer neuen Ära der Mobil-Bedrohungen.

Die als gefälschte Banking-App getarnte Malware zielt darauf ab, die vollständige Fernkontrolle über Geräte zu erlangen. Ihr Ziel: sensible Daten wie Bankzugänge und Krypto-Wallets auszuspäen. Der aktuelle Angriff konzentriert sich auf Nutzer in Argentinien, doch die Technologie ist global einsetzbar.

PromptSpy setzt einen entscheidenden technologischen Sprung um. Statt auf starre, vordefinierte Skripte setzt die Malware auf die visuelle Intelligenz von Googles Gemini. Ihr Trick: Sie macht einen Screenshot des aktuellen Bildschirms und schickt ihn zur Analyse an die KI.

Diese interpretiert die Oberfläche wie ein Mensch und sagt der Schadsoftware, welche Knöpfe sie drücken muss. So navigiert sie den Nutzer geschickt durch Menüs, um sich tief im System zu verankern. Besonders im Visier hat sie dabei die Android-Bedienungshilfen.

Diese „Accessibility Services“ sind eigentlich für Barrierefreiheit gedacht. PromptSpy erschleicht sich die damit verbundenen Rechte aber für bösartige Zwecke. Sie erlauben es der App, Bildschirminhalte auszulesen, Tastatureingaben zu protokollieren und in anderen Apps zu agieren. Diese Methode macht den Trojaner extrem flexibel – er funktioniert unabhängig von Hersteller oder Android-Version.

Vollständige Kontrolle für die Angreifer

Hat PromptSpy erst einmal die Berechtigungen, installiert sie ein Fernsteuerungsmodul. Die Kriminellen erhalten dann quasi die volle Kontrolle über das Smartphone des Opfers. Sie können den Bildschirm in Echtzeit mitverfolgen, jede Tastatureingabe abfangen und sogar den Entsperr-PIN stehlen.

Diese Fernzugriffsfunktionen sind die Basis für den Finanzdiebstahl. Eine gängige Taktik ist der sogenannte Overlay-Angriff. Erkennt die Malware, dass der Nutzer seine echte Banking-App öffnet, legt sie blitzschnell eine täuschend echte Fälschung darüber. Gibt das Opfer seine Daten ein, landen sie direkt bei den Kriminellen.

Mit dem vollen Zugriff können die Täter dann Überweisungen tätigen, Konten leerräumen und sogar SMS-TANs abfangen. Die Grenze zwischen Online- und Mobile-Banking-Sicherheit verschwimmt damit vollends.

Gefälschte Apps als Einfallstor

Derzeit verbreitet sich PromptSpy über gefälschte Webseiten. Diese locken mit der angeblichen Banking-App „MorganArg“, einer Kopie der echten Chase/JPMorgan-Anwendung. Die Tarnung als nützliches Tool ist ein klassisches Vorgehen.

Oft steckt die Schadsoftware auch in harmlos wirkenden Apps wie PDF-Readern, Dateimanagern oder angeblichen System-Tools. Manchmal schaffen es diese manipulierten Versionen sogar kurzzeitig in den offiziellen Google Play Store. Die bösartige Funktion wird dann oft erst durch ein späteres Update nachgeladen.

KI senkt die Hürden für Cyberkriminalität

Die Integration von generativer KI direkt in den Malware-Kern markiert eine neue Eskalationsstufe. Zwar gab es bereits fortschrittliche Banking-Trojaner wie Vultur oder Hook, doch PromptSpy automatisiert die Anpassungsfähigkeit.

Experten sehen darin die Fortsetzung eines bedrohlichen Trend: Cyberkriminalität wird immer professioneller und arbeitsteiliger. Über „Malware-as-a-Service“-Plattformen können auch technische Laien hochkomplexe Angriffe starten. Der Einsatz von KI macht die Entwicklung robuster Schadsoftware nun noch einfacher.

So können sich Nutzer schützen

Die aktuelle Kampagne mag regional begrenzt sein, doch die Technik lässt sich leicht auf andere Märkte anpassen. Android-Nutzer sollten daher grundlegende Sicherheitsregeln beachten.

Wer sich gegen neue KI‑gestützte Smartphone‑Trojaner wie PromptSpy wappnen möchte, findet praxisnahe Schutzmaßnahmen in einem kostenlosen E‑Book. Es erklärt aktuelle Cyber‑Security‑Bedrohungen, typische Phishing‑ und Overlay‑Angriffe und welche einfachen Schritte Sie sofort umsetzen können, um Ihr Handy zu schützen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Installieren Sie Apps ausschließlich aus dem offiziellen Google Play Store und meiden Sie direkte Downloads von Webseiten. Seien Sie äußerst misstrauisch, wenn eine App um weitreichende Rechte – besonders für Bedienungshilfen – bittet.

Halten Sie Ihr Betriebssystem und alle Apps stets aktuell. Nutzen Sie den integrierten Schutz von Google Play Protect, der bekannte Versionen von PromptSpy bereits blockiert. Bei verdächtigem Verhalten hilft ein Neustart im abgesicherten Modus, um schädliche Apps zu deinstallieren.