Android-Malware PromptSpy nutzt KI zur Tarnung

Forscher haben den ersten Android-Virus entdeckt, der aktive KI nutzt, um sich zu verstecken. Die "PromptSpy" getaufte Schadsoftware setzt auf Googles "Gemini"-Modell, um sich an jede Geräteoberfläche anzupassen. Das macht sie besonders schwer zu erkennen und zu entfernen – ein Wendepunkt in der mobilen Bedrohungslandschaft.

Das europäische IT-Sicherheitsunternehmen ESET gab die Entdeckung diese Woche bekannt. PromptSpy stellt eine neue Qualität dar: Statt starrer Befehle nutzt die Malware KI, um dynamisch auf das individuelle Smartphone zu reagieren. Sie analysiert den Bildschirm und erhält von der KI präzise Handlungsanweisungen. Das Ziel? Sich in der App-Übersicht festzusetzen und ein manuelles Beenden durch den Nutzer zu verhindern.

Angesichts solch lernfähiger Malware wird der Schutz persönlicher Daten auf dem Smartphone immer komplexer. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie Ihr Android-Gerät effektiv vor modernen Zugriffen schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

KI als Steuerungszentrale für Fernzugriff

Die Hauptaufgabe der Malware ist simpel, aber verheerend: Sie installiert ein Fernwartungs-Tool (VNC-Modul). Damit erhalten Angreifer die volle Kontrolle über das infizierte Gerät. Sie können den Bildschirm live mitverfolgen, Tastatureingaben wie Passwörter abfangen und Aktionen ausführen.

Der geniale, aber bösartige Kniff liegt in der Tarnung. Herkömmliche Malware scheitert oft an der Vielfalt der Android-Oberflächen. PromptSpy umgeht dieses Problem, indem es einen Screenshot an die Gemini-KI schickt. Diese analysiert die sichtbaren Schaltflächen und Menüs und sagt der Malware, was sie als Nächstes tun muss. So findet sie sich in jeder Umgebung zurecht.

Gefälschte Bank-Apps als Trojaner

Aufgefallen ist PromptSpy bisher in einer gezielten Kampagne gegen Nutzer in Argentinien. Die Malware wurde über gefälschte Webseiten verbreitet und tarnte sich als Banking-App namens "MorganArg", die das Design der Chase-Bank kopierte. Obwohl der Angriff regional begrenzt war, ist die Technologie universell einsetzbar.

Sicherheitsforscher vermuten Entwickler aus einem chinesischsprachigen Umfeld. Es ist bereits der zweite bekannte Fall von tief integrierter KI in Schadcode. Im August 2025 identifizierte ESET bereits die KI-gestützte Ransomware "PromptLock". Cyberkriminelle adaptieren neue Technologien immer schneller.

Da herkömmliche Sicherheits-Updates bei KI-gestützten Angriffen oft nicht mehr ausreichen, sind zusätzliche Sicherheitsvorkehrungen für WhatsApp und Online-Banking unerlässlich. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie eine häufig unterschätzte Sicherheitslücke schließen. Kostenlosen Sicherheits-Ratgeber herunterladen

Das Ende der Vorhersehbarkeit

Die Integration generativer KI ändert die Spielregeln. Bisher war die extreme Fragmentierung von Android – mit seinen vielen Herstellern und Oberflächen – ein natürliches Hindernis für Angreifer. Diese Malware umgeht es, indem sie ihre Umgebung wie ein Mensch "versteht".

Das bedeutet: Herkömmliche Sicherheitssoftware, die nach bekannten Mustern sucht, stößt an Grenzen. Die Branche steht vor einem neuen Wettrüsten. Verteidigungssysteme werden selbst immer mehr auf KI setzen müssen, um mit dynamischen, lernenden Bedrohungen Schritt halten zu können.

Wie können sich Nutzer schützen?

Die Entdeckung von PromptSpy ist wahrscheinlich nur der Vorbote. Experten rechnen mit noch ausgefeilterer KI-Malware, die etwa personalisierte Phishing-Nachrichten generiert oder ihren Code ständig ändert.

ESET hat Google über die Malware informiert. Geräte mit aktiviertem "Google Play Protect" sind gegen die bekannten Varianten geschützt. Für Nutzer gelten die altbewährten Regeln: Apps nur aus dem offiziellen Play Store laden und Betriebssystem sowie Anwendungen stets aktuell halten. Bei Verdacht auf eine Infektion kann ein Neustart im abgesicherten Modus helfen, die bösartige App zu finden und zu deinstallieren.

boerse | 68616982 |