Android TV-Botnetze: Infizierte Streaming-Boxen als globale Cybercrime-Infrastruktur

Billige Streaming-Geräte mit vorinstallierter Schadsoftware werden zur Basis für weltweite Botnetze und Betrug im großen Stil. Diese Woche veröffentlichten Sicherheitsforscher und nationale Cyberagenturen alarmierende Details zu den finanziellen Hintergründen und dem globalen Ausmaß der Bedrohung.

Viele Android-basierte Geräte weisen Sicherheitslücken auf, die von Kriminellen für den Zugriff auf private Daten und Netzwerke missbraucht werden. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihr System mit fünf einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Low5: Der milliardenschwere Ad-Fraud-Marktplatz

Am 12. März 2026 legten Forscher von HUMAN Security die Geldflüsse hinter Android TV-Botnetzen offen. Ihr Ziel: das gigantische Abrechnungsnetzwerk Low5. Dieses Ökosystem aus über 3.000 Domains und 63 Android-Apps dient als „Cashout“-Plattform für mehrere Betrugsschemata, darunter das bekannte BadBox 2.0-Botnetz.

Wie funktioniert der Betrug? Infizierte Geräte – oft Android TV-Boxen in Wohnzimmern – generieren automatisch gefälschte Werbeeinblendungen. Über HTML5-Spiele- und Newsseiten wird diese Klick-Flut in echtes Geld gewandelt. Die Dimensionen sind gewaltig: An Spitzentagen verzeichneten die Forscher bis zu zwei Milliarden Gebotsanfragen täglich. Das Netzwerk könnte bis zu 40 Millionen Geräte weltweit umfassen.

Der Clou: Die Cyberkriminellen nutzen die privaten IP-Adressen der Opfer. So umgehen sie Sicherheitsfilter, denn der Traffic wirkt wie legitime Aktivität aus echten Haushalten. Low5 bricht zudem mit alten Mustern. Statt einem Akteur dient die Plattform mehreren Bedrohungen gleichzeitig. Künstliche Intelligenz hilft den Tätern dabei, rasch neue betrügerische Apps zu entwickeln.

Nationale Cyberagenturen schlagen Alarm

Die globale Gefahr veranlasste Behörden zu koordinierten Warnungen. Am 12. März warnte das nigerianische Computer Emergency Response Team (ngCERT) Millionen Nutzer vor hartnäckiger Android-Malware. Im Fokus: Prizmes, das mit BadBox in Verbindung steht, sowie Triada und Rootnik.

Die Malware verbreitet sich oft über vorinstallierte, schadhafte Firmware auf nicht zertifizierten Geräten. Sie nutzt alte, ungepatchte Sicherheitslücken, um tiefen Systemzugriff zu erlangen. Selbst ein Werksreset entfernt die Schädlinge meist nicht. Kompromittierte Geräte werden für Botnetze, Proxy-Missbrauch und DDoS-Angriffe eingesetzt.

Einen Tag später, am 13. März, meldete Viettel Cyber Security (VCS) einen Anstieg von DDoS-Angriffen in Vietnam um 577 Prozent im letzten Jahr. Ein wesentlicher Treiber: IoT-Botnetze wie Kimwolf. Dieses Botnetz infiziert vor allem Android TV-Boxen und Tablets, ist in über 200 Ländern aktiv und führte Ende 2025 an nur drei Tagen über 1,7 Milliarden DDoS-Befehle aus.

Kimwolf nutzt raffinierte Tarnmethoden. Es verschleiert seine Kommunikation via DNS over TLS und versteckt Steuerungsinformationen sogar in Blockchain-Smart Contracts – eine technique namens EtherHiding. Das macht es extrem schwer, das Netzwerk lahmzulegen.

Das Geschäftsmodell der kompromittierten Boxen

Hinter den Warnungen steckt ein monatelanger, ungebremster Wachstumskurs. Das Kimwolf-Botnetz, eine Android-Variante des riesigen Aisuru-Netzwerks, umfasst seit Ende 2025 über zwei Millionen Geräte.

Die Täter zielen gezielt auf billige, nicht zertifizierte Streaming-Boxen ab. Diese haben oft den Android Debug Bridge (ADB)-Dienst offen, was unautorisierte Zugriffe ermöglicht. Über Schwachstellen in Proxy-Netzwerken schleusen die Angreifer Befehle in private Heimnetze ein und rekrutieren die Hardware still und leise.

Ob Banking oder privates Surfen – manipulierte Android-Systeme gefährden Ihre gesamte digitale Identität. Dieser kompakte Leitfaden bietet Ihnen Checklisten und Anleitungen, um Ihre Geräte ohne teure Zusatz-Software zuverlässig zu schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Das BadBox-Ökosystem setzt hingegen auf Lieferkettenkompromittierung. Die Geräte werden schon während der Produktion oder durch modifizierte Firmware infiziert. Da die Malware im Festwertspeicher (ROM) sitzt, sind Standard-Antivirenprogramme und Werksresets wirkungslos. Der Nutzer kauft quasi permanent kompromittierte Hardware.

Systemisches Versagen der Lieferkette

Experten sehen hier ein systemisches Problem. Der Markt ist überschwemmt mit billigen, nicht zertifizierten Boxen, die auf dem Android Open Source Project basieren – nicht auf dem offiziellen, von Google geprüften Android TV-Betriebssystem. Diese Geräte entbehren essenzieller Sicherheitsfeatures wie Google Play Protect und sind ab Werk hochgradig angreifbar.

Für Cyberkriminelle sind diese Botnetze doppelt lukrativ. Neben der DDoS-Kraft vermieten sie die privaten IP-Adressen der Geräte weiter. Diese Proxy-Infrastruktur ermöglicht weitere Cyberverbrechen: vom Ausprobieren gestohlener Zugangsdaten (Credential Stuffing) über massenhaftes Datensammeln bis hin zum Ad-Fraud.

Der Wechsel von Router- zu Streaming-Box-Botnetzen ist für Angreifer ein Upgrade: Sie erhalten leistungsstärkere Hardware und „sauberere“ IP-Adressen aus Wohngebieten. Für Provider und Unternehmen wird die Entdeckung so viel schwieriger, da der bösartige Traffic sich im normalen Streaming-Verkehr tarnt.

Was können Nutzer tun?

Die Bedrohung wird weiter wachsen. Botnetz-Betreiber setzen zunehmend auf dezentrale Steuerung über Blockchain und Peer-to-Peer-Netzwerke, um Abschaltungen zu erschweren.

Sicherheitsexperten raten Verbrauchern eindringlich:
* Vermeiden Sie No-Name-Streaming-Geräte von unseriösen Anbietern.
* Achten Sie auf das „Google Certified“-Logo, das für ein geprüftes Android TV-System steht.
* Trennen Sie IoT-Geräte im Netzwerk von PCs und wichtigen Daten.
* Beobachten Sie ungewöhnliche Netzwerkaktivitäten auf Ihrem Router.

Da die finanziellen Anreize für Proxy-Netzwerke und Betrugsschemata hoch bleiben, wird der Kampf gegen diese Android TV-Botnetze weiter eskalieren. Erfolg verspricht nur eine koordinierte Antwort von Strafverfolgung, Internet-Providern und Sicherheitsforschung.

boerse | 68690502 |