PromptSpy: Erste Android-Malware nutzt KI für Angriffe

Sicherheitsforscher haben die erste Android-Schadsoftware entdeckt, die aktiv auf KI zurückgreift. "PromptSpy" nutzt Googles Gemini-Modell, um ihre Angriffe dynamisch an jedes Gerät anzupassen. Diese neue Methode stellt eine Eskalationsstufe in der mobilen Cyberkriminalität dar.

Die Entdeckung gelang Forschern des IT-Sicherheitsunternehmens ESET. Anders als traditionelle Malware mit starren Befehlssätzen analysiert PromptSpy den Bildschirm in Echtzeit. Sie erstellt eine Momentaufnahme aller sichtbaren Elemente und sendet diese zusammen mit einem Befehl an die Gemini-KI.

Angesichts immer intelligenterer Schadsoftware wird der Basisschutz für das eigene Smartphone wichtiger denn je. Wie Sie Ihr Android-Gerät mit einfachen Schritten vor KI-gestützten Angriffen und Datenklau schützen, erfahren Sie in diesem kostenlosen Ratgeber. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Wie die KI zum Komplizen wird

Das Kernproblem für Angreifer ist die Fragmentierung des Android-Ökosystems. Benutzeroberflächen unterscheiden sich je nach Gerät und Softwareversion. PromptSpy umgeht dies elegant: Die KI analysiert die gesendeten Bildschirmdaten und schickt präzise Handlungsanweisungen zurück – etwa welche Schaltfläche zu drücken ist.

Dieser Prozess läuft in einer Schleife ab, bis die gewünschte Aktion bestätigt wird. So navigiert die Malware auf jedem beliebigen Gerät, als hätte sie eine persönliche Gebrauchsanweisung. Der Hauptzweck? Sie will sich dauerhaft auf dem Smartphone einnisten.

Persistenz durch das virtuelle Vorhängeschloss

PromptSpy nutzt die KI-Anweisungen für ein spezifisches Ziel: die eigene App in der Liste der zuletzt verwendeten Anwendungen zu "pinnen". Dieses oft durch ein Vorhängeschloss-Symbol dargestellte Feature verhindert, dass die App einfach beendet wird. Die Automatisierung dieses Vorgangs sichert der Schadsoftware ihr hartnäckiges Überleben.

Doch die eigentliche Gefahr liegt in den Spionagefunktionen. Nach der installation und dem Erschleichen von Berechtigungen – besonders der Zugänglichkeitsdienste – entfaltet PromptSpy ihr volles Potenzial als Spionagewerkzeug.

Vollständige Fernsteuerung und Abwehr

Das Hauptmodul ist ein VNC-Client, der Angreifern die komplette Fernsteuerung des Geräts ermöglicht. Sie sehen den Bildschirm in Echtzeit und können ihn bedienen. Zu den dokumentierten Fähigkeiten gehören das Abfangen von PINs und Passwörtern, die Aufzeichnung von Entsperrmustern als Video sowie das Erstellen von Screenshots auf Befehl.

Zudem verhindert die Malware ihre eigene Deinstallation. Sie legt unsichtbare Elemente über Schaltflächen mit Begriffen wie "Deinstallieren" und fängt so die Nutzereingaben ab. Ein raffinierter Trick, der die Entfernung erschwert.

Da herkömmliche Updates allein oft nicht mehr ausreichen, um komplexe Spionage-Funktionen abzuwehren, empfehlen Experten zusätzliche Sicherheitsvorkehrungen. Dieser kompakte Leitfaden bietet Ihnen Checklisten für geprüfte Apps und zeigt, wie Sie Sicherheitslücken effektiv schließen. Kostenlosen Android-Sicherheits-Guide anfordern

Ein Vorbote für eine neue Ära?

Sicherheitsexperten sehen in PromptSpy einen Vorboten für intelligentere, adaptive Malware. Die Nutzung generativer KI senkt die Hürden für Angreifer, da komplexe Skripte durch dynamische Analysen ersetzt werden. Steht uns ein Wettrüsten zwischen KI-gestützten Angriffen und Abwehrsystemen bevor?

Derzeit scheint die Verbreitung begrenzt. Die Malware wurde als gefälschte Banking-App in Argentinien verbreitet. Code-Analysen deuten auf Entwickler aus einem chinesischsprachigen Umfeld hin. Google bestätigt, dass keine infizierten Apps im Play Store gefunden wurden. Nutzer mit aktivierten Play Services sind durch Google Play Protect geschützt.

Dennoch zeigt der Fall: Die Kombination aus Herstellerschutz und einem wachsamen Nutzerverhalten bleibt entscheidend. Die Bedrohungen werden nicht nur zahlreicher, sondern auch subtiler.

boerse | 68635215 |