Qualcomm: Kritische Sicherheitslücken bedrohen Millionen Android-Geräte

Die erste Dezemberwoche 2025 markiert einen Wendepunkt in der mobilen Cybersicherheit. Während Hersteller kritische Hardware-Schwachstellen schließen, verbreitet sich zeitgleich ein hochgefährlicher Banking-Trojaner. Sicherheitsexperten warnen vor dem “perfekten Sturm” aus Hardware-Lücken und raffinierten Angriffen.

Google und Qualcomm haben diese Woche insgesamt 107 Sicherheitslücken geschlossen – darunter Schwachstellen, die bis in die Hardware-Ebene reichen. Die Bedrohungslage verschärft sich zusätzlich durch “Albiriox”, eine neue Malware-Generation, die biometrische Sicherheitsmaßnahmen aushebelt. Gleichzeitig sorgt Indien mit einem Kurswechsel bei staatlichen Tracking-Vorgaben für Aufsehen.

Am Montag veröffentlichte Qualcomm ein brisantes Sicherheits-Bulletin. Die kritischste Schwachstelle trägt die Kennung CVE-2025-47372 und betrifft den Secure-Boot-Prozess – jene grundlegende Vertrauensebene, die sicherstellt, dass das Betriebssystem nicht manipuliert wurde.

Passend zum Thema mobile Sicherheit – wenn Angreifer die Boot-Ebene umgehen können, reicht das oft, um auch Banking-Apps und Zahlungsdienste zu kompromittieren. Das kostenlose Android-Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Smartphone: richtige Update‑Hygiene, Berechtigungs‑Kontrolle, geprüfte App‑Quellen, Backup‑Strategien und Anti‑Phishing‑Checks. Praktische Schritt‑für‑Schritt-Anleitungen helfen, das Risiko von Malware wie Albiriox zu reduzieren. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Was bedeutet das konkret? Angreifer könnten die Sicherheitsprüfungen umgehen und dauerhafte Schadsoftware installieren, die selbst einen Werksreset übersteht. Eine zweite kritische Lücke (CVE-2025-47319) betrifft das High-Level Operating System und könnte sensible Systeminformationen preisgeben.

“Die Angreifer bewegen sich tiefer in die Geräte-Architektur hinein und zielen auf die Hardware-Software-Schnittstelle”, warnte ein Sicherheitsanalyst am Donnerstag. “Das ist ein Paradigmenwechsel.”

Hersteller reagieren: Update-Welle läuft an

Google integrierte die Qualcomm-Fixes in sein Dezember-2025-Sicherheitsupdate. “Viele dieser Schwachstellen lassen sich in neueren Android-Versionen schwerer ausnutzen”, betonte Google in der Sicherheitsmitteilung. Dennoch sei sofortiges Handeln erforderlich.

Xiaomi und Samsung starteten bereits am Dienstag mit der Verteilung der kritischen Updates in ausgewählten Regionen. Eine breitere Verfügbarkeit wird für das Wochenende erwartet. Deutsche Nutzer sollten in den Einstellungen unter “System-Updates” prüfen, ob die Dezember-2025-Patches verfügbar sind.

“Albiriox”: Banking-Trojaner der nächsten Generation

Während die Hardware-Hersteller Lecks stopfen, verschärft sich die Bedrohungslage durch eine neue Malware-Kategorie. Die Sicherheitsfirma Cleafy identifizierte Ende November den Banking-Trojaner “Albiriox” – und am 1. Dezember lieferte Malwarebytes eine detaillierte Analyse nach.

Das Besondere: Albiriox führt Transaktionen direkt vom infizierten Gerät aus durch und umgeht damit biometrische Sicherungen und Zwei-Faktor-Authentifizierung. Die Schadsoftware wird in Untergrund-Foren als Malware-as-a-Service für umgerechnet 680 Euro monatlich angeboten.

Über 400 Anwendungen weltweit sind im Visier – darunter große Banking-Apps, Kryptowährungs-Wallets und digitale Zahlungsdienste. “Albiriox vereint alle Merkmale moderner Geräte-Betrugs-Malware: VNC-basierte Fernsteuerung und automatisierte Zugriffsrechte-Ausnutzung”, erklärten die Cleafy-Forscher.

Verschleierung durch “Golden Crypt”

Besonders gefährlich: Albiriox nutzt den Verschleierungsdienst “Golden Crypt”, der die Malware vor Standard-Virenscannern verbirgt. Kombiniert mit der rasanten Verbreitung über Phishing-Kampagnen – getarnt als legitime Apps wie Supermarkt-Gutschein-Programme – stellt dies die Sicherheitsbranche vor erhebliche Herausforderungen.

Zum Vergleich: Während deutsche Banken wie Sparkasse oder Volksbanken ihre Apps kontinuierlich härten, zeigt Albiriox, dass die Schwachstelle zunehmend beim Betriebssystem selbst liegt. Hier setzt Googles neuestes Update an.

Android 16 QPR2: Gegenschlag auf Plattformebene

Am Dienstag veröffentlichte Google Android 16 QPR2 (Quarterly Platform Release 2). Neben den monatlichen Sicherheitspatches bringt das Update Plattform-Verbesserungen, die gezielt Angriffe wie Albiriox erschweren sollen.

Die wichtigsten Neuerungen:

• Privacy Sandbox: Verschärfte Einschränkungen, wie Apps das Nutzerverhalten über Anwendungsgrenzen hinweg tracken können
• Accessibility API: Strengere Kontrollen für jene mächtigen Berechtigungen, die Malware wie Albiriox zur Bildschirmübernahme missbraucht
• Enterprise-Monitoring: Neue Kontrollfunktionen für Unternehmensgeräte

Durch die Einschränkung, welche Apps diese weitreichenden Berechtigungen überhaupt anfordern dürfen, will Google die Angriffskette von On-Device-Fraud-Malware durchbrechen.

Indien rudert zurück: Tracking-App bleibt freiwillig

Auf politischer Ebene sorgte Indien diese Woche für Schlagzeilen. Am Montag verfügte das Telekommunikationsministerium zunächst, dass alle neuen Smartphones die “Sanchar Saathi”-App vorinstalliert haben müssen – eine Anwendung mit GPS-Tracking und Fernblockierung für verlorene oder gestohlene Geräte.

Doch bereits am Mittwoch erfolgte die Kehrtwende. Nach massiver Kritik von Datenschützern und Industrieverbänden wegen befürchteter Überwachung zog die Regierung die Pflicht zurück. Die App bleibt nun freiwillig installierbar.

“Die Sanchar-Saathi-Initiative bleibt ein bürgerorientiertes Schutzinstrument, aber wir setzen auf einen Privacy-First-Ansatz”, erklärte ein Regierungssprecher. Der Vorfall zeigt exemplarisch die weltweite Spannung zwischen staatlichen Sicherheitsmaßnahmen und individuellen Datenschutzrechten – ein Thema, das auch in der EU intensiv diskutiert wird.

Ausblick 2026: Der Kampf um die Boot-Ebene

Die Entdeckung von Boot-Level-Schwachstellen wie CVE-2025-47372 markiert einen Strategiewechsel der Angreifer. “Die OS-Ebene wird so robust, dass Angreifer darunter schauen”, analysierte ein Sicherheitsexperte am Donnerstag. “Updates wie Android 16 QPR2 sind essenziell, aber Chip-Hersteller wie Qualcomm müssen ihre proprietäre Firmware noch wachsamer überwachen.”

Für Verbraucher bleibt die Priorität klar: Das Dezember-2025-Sicherheitsupdate sollte umgehend installiert werden. Gleichzeitig ist Wachsamkeit bei verdächtigen App-Installationen geboten – besonders jetzt in der Vorweihnachtszeit, der Hochsaison für digitalen Betrug.

Kann die Update-Geschwindigkeit mit der Raffinesse der Angreifer mithalten? Die kommenden Monate werden zeigen, ob die Industrie die Oberhand behält oder ob sich die Bedrohungslage weiter verschärft.

PS: Albiriox macht deutlich, wie schnell Banking‑Trojaner Kontozugriffe ausnutzen können. Wer seine App‑Berechtigungen kontrolliert, automatische Updates aktiviert und Phishing‑Tricks erkennt, reduziert das Risiko deutlich. Dieser kostenlose Ratgeber fasst die 5 wirksamsten Schutzmaßnahmen für Android kompakt zusammen, inklusive Checkliste und Erkennungs‑Tipps für gefälschte Apps. Schützen Sie Ihre Konten jetzt proaktiv. Sicherheitspaket für Android jetzt gratis anfordern