Android-Sicherheit: Doppelangriff durch Botnet und Spionage-Trojaner

Die Android-Sicherheit erlebt eine der kritischsten Wochen des Jahres. Zwei neue, massive Bedrohungen – ein riesiges Botnet und ein Spionage-Trojaner – bedrohen Millionen Geräte weltweit und stellen die Abwehrsysteme auf die Probe.

Botnet “Kimwolf” kapert 1,8 Millionen Android-Geräte

Forscher des QAX XLab haben gestern, am 17. Dezember, das Botnet “Kimwolf” enttarnt. Es hat bereits rund 1,8 Millionen Android-Geräte infiziert. Die Schadsoftware zielt vor allem auf Android-TV-Boxen und Set-Top-Geräte ab, die oft weniger gut geschützt sind als moderne Smartphones.

Kimwolf ist für verheerende DDoS-Angriffe (Distributed Denial of Service) ausgelegt. Allein in einem dreitägigen Zeitraum Anfang Dezember gab das Netzwerk schätzungsweise 1,7 Milliarden Angriffsbefehle aus. Besonders tückisch: Das Botnet nutzt “EtherHiding”, eine Technik, die Blockchain-Domains über den Ethereum Name Service (ENS) zur Tarnung der Steuerungsinfrastruktur einsetzt. Das macht es für Behörden extrem schwierig, die Angriffsquelle zu sperren.

Die Infektionen sind global, mit Schwerpunkten in Brasilien, Indien und den USA. Die Malware kommuniziert verschlüsselt über DNS over TLS (DoT), um sich der Entdeckung durch Netzwerk-Sicherheitstools zu entziehen.

Die jüngsten Vorfälle – etwa das Kimwolf‑Botnet mit rund 1,8 Millionen betroffenen Geräten und der Cellik‑RAT – zeigen, wie schnell Android‑Lücken ausgenutzt werden können. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt Schwachstellen (z. B. Android‑TV, DoT, Firmware‑Lücken) und liefert priorisierte, sofort umsetzbare Schutzmaßnahmen für Unternehmen und Privatanwender. Holen Sie sich Checklisten für Patch‑Management, Awareness‑Maßnahmen und Härtungsschritte, um Angriffe frühzeitig zu stoppen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Spionage-Trojaner “Cellik” umgeht Google Play Protect

Parallel warnt das Sicherheitsunternehmen iVerify vor “Cellik”, einem neuen Remote Access Trojan (RAT). Der Spionagetrojaner wird in Cybercrime-Foren bereits als “Malware-as-a-Service” (MaaS) für nur 150 US-Dollar Lebenszeit-Zugang angeboten – ein Schnäppchen mit verheerender Wirkung.

Cellik wird über einen “One-Click-APK-Builder” verteilt, mit dem Angreifer Schadcode in harmlos wirkende Apps einbauen können. Laut iVerify umgehen diese präparierten Anwendungen die automatisierten Scans von Google Play Protect. Nach der Installation hat der Angreifer fast vollständige Kontrolle über das Opfer-Gerät.

Die bestätigten Fähigkeiten sind alarmierend:
* Live-Bildschirm-Übertragung: Angreifer sehen den Bildschirm des Opfers in Echtzeit.
* Keylogging: Jeder Tastenanschlag – auch Passwörter und Bank-PINs – wird mitgeschnitten.
* Benachrichtigungs-Abfang: Zwei-Faktor-Authentifizierungscodes (2FA) werden gestohlen.
* Verdecktes Surfen: Versteckte Browser-Sessions führen Betrugstransaktionen ohne Wissen des Nutzers aus.

“Cellik ist Teil eines Trends, bei dem hochsophistische Spionagetools auch für wenig versierte Cyberkriminelle zugänglich werden”, sagt Daniel Kelley, Research Fellow bei iVerify.

Adware-Welle und Googles Gegenmaßnahmen

Die neuen Bedrohungen treffen auf eine generelle Zunahme bösartiger Aktivitäten. Laut einem Bericht von Malwarebytes vom 16. Dezember haben sich die Adware-Erkennungen auf Android in der zweiten Jahreshälfte 2025 im Vergleich zum Vorjahreszeitraum fast verdoppelt (+90%). Die Grenze zwischen lästiger Werbung und organisiertem Verbrechen verschwimmt, da Adware oft als Türöffner für Banking-Trojaner dient.

Als Reaktion hat Google gestern sein Android-Sicherheits-Bulletin für Dezember 2025 aktualisiert. Es enthält Patches für über 100 Schwachstellen. Die kritischste betrifft die Framework-Komponente (CVE-2025-48572) und könnte einen dauerhaften Dienstausfall ermöglichen.

Parallel rollt Google die “Emergency Live Video”-Funktion weiter aus. Seit dieser Woche ist sie für Nutzer mit Android 8+ in den USA sowie in Teilen Deutschlands und Mexikos aktiv. Notrufzentralen können so eine verschlüsselte Video-Übertragung vom Anrufenden anfordern, um die Lage besser einzuschätzen.

Analyse: Demokratisierung der Cyberkriminalität

Das gleichzeitige Auftauchen von Kimwolf und Cellik in einer Woche markiert eine Wende: Hochkomplexe Malware wird zur Massenware. Während Kimwolf die Sicherheitslücken im Smart Home (Android TV) ausnutzt, zielt Cellik direkt auf den Nutzer durch Social Engineering.

“Der Einsatz von Blockchain-Domains durch Kimwolf für widerstandsfähige Infrastrukturen ist ein Game-Changer”, analysiert Branchenexpertin Dr. Elena Weber. “Botnet-Betreiber nutzen dezentrale Technologien, um ‘unsterbliche’ Netzwerke aufzubauen.”

Der niedrige Preis des Cellik-RAT demokratisiert zudem Fähigkeiten, die früher Geheimdiensten vorbehalten waren. Das wird besonders für Unternehmen gefährlich, wo die private Nutzung von Arbeitsgeräten (BYOD) ein Einfallstor für Angriffe auf Firmennetze sein kann.

Was Nutzer jetzt tun sollten

Experten raten dringend, das Dezember-2025-Sicherheitsupdate sofort zu installieren. Es wird derzeit für Google Pixel 10 und Samsung Galaxy S25 ausgespielt. Besitzer von Android-TV-Geräten sollten Firmware-Updates prüfen und ihre Geräte neu starten, um mögliche Botnet-Verbindungen zu unterbrechen.

Für 2026 prognostizieren Experten, dass Google die Integration von KI zur Bedrohungserkennung direkt auf dem Gerät beschleunigen wird. Der Erfolg von Cellik zeigt, dass die aktuellen Abwehr-KI-Modelle schnell nachtrainiert werden müssen, um mit der Entwicklung der Angriffstechniken Schritt zu halten.

PS: Sofortschutz für Ihr Android-Gerät – der Gratis‑Leitfaden enthält klare To‑dos: Firmware‑Updates priorisieren, Android‑TV und Set‑Top‑Boxen härten, 2FA‑Risiken mindern und Mitarbeitende schulen. Besonders bei BYOD‑Szenarien reduzieren diese Maßnahmen die Wahrscheinlichkeit, dass Geräte Teil eines Botnets werden. Laden Sie das E‑Book herunter und erhalten Sie praktische Checklisten für den Notfall. Gratis‑E‑Book „Cyber Security Awareness Trends“ anfordern