PromptSpy: Erste Android-Malware nutzt Googles Gemini-KI

Sicherheitsforscher haben die erste Android-Malware entdeckt, die aktiv Googles KI-Modell Gemini ansteuert. Der Schädling namens „PromptSpy“ nutzt die KI, um sich dynamisch an jedes Gerät anzupassen und so schwerer erkennbar zu werden. Die Entdeckung markiert einen gefährlichen Wendepunkt für die mobile Sicherheit.

Das europäische IT-Sicherheitsunternehmen ESET identifizierte die Bedrohung diese Woche. PromptSpy stellt eine neue Art von Schadsoftware dar: Sie nutzt generative KI nicht nur als Werkzeug, sondern als funktionalen Bestandteil ihres Angriffs. Konkret greift die Malware auf die Gemini-API zu, um sich in Echtzeit an verschiedene Android-Oberflächen anzupassen und so dauerhaft auf dem Gerät zu verbleiben.

Da Cyberkriminelle zunehmend KI nutzen, um Banking-Daten und Passwörter auf Smartphones auszuspähen, wird der richtige Selbstschutz immer wichtiger. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Schadsoftware und Datenklau absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

KI als universeller Übersetzer für jeden Bildschirm

Der geniale und beunruhigende Trick von PromptSpy liegt in seiner Anpassungsfähigkeit. Herkömmliche Malware scheitert oft an der Vielfalt von Android-Versionen und Hersteller-Oberflächen. Ihre hartcodierten Anweisungen passen nicht überall.

PromptSpy löst dieses Problem mit Gemini als Lotsen. Die Malware macht einen Screenshot des aktuellen Bildschirms und schickt ihn an die KI. Anschließend fragt sie: „Wie komme ich von hier zum Ziel?“ – etwa zum Anheften der App im Hintergrund. Gemini analysiert die visuelle Oberfläche und liefert Schritt-für-Schritt-Anweisungen zurück, die die Malware dann ausführt. Dieser Prozess wiederholt sich, bis die KI Erfolg meldet.

Vom Eindringling zur vollständigen Fernsteuerung

Die KI-gesteuerte Tarnung ist nur der Anfang. Die eigentliche Gefahr beginnt, wenn sich PromptSpy eingenistet hat. Dann lädt die Malware ein VNC-Modul (Virtual Network Computing) nach, das Angreifern die totale Fernkontrolle über das Smartphone ermöglicht.

Die Täter können den Bildschirm live mitverfolgen, Tastatureingaben abfangen und sogar selbst Aktionen ausführen. Das öffnet Tür und Tor für den Diebstahl von Passwörtern, Nachrichten und Banking-Daten. Zur Tarnung legt die Malware unsichtbare Ebenen über wichtige Schaltflächen wie „Deinstallieren“. Der Nutzer tippt ins Leere.

Verbreitung und der Weg zum Schutz

Bisher verbreitet sich PromptSpy nicht über den Google Play Store. Die Angreifer nutzen gefälschte Webseiten, um Nutzer zum Download zu locken. Eine bekannte Variante tarnte sich als Banking-App der US-Bank „Chase“. Die aktuelle Kampagne zielt vor allem auf Nutzer in Argentinien ab – die Technologie selbst ist jedoch global einsetzbar.

Viele Android-Nutzer übersehen entscheidende Sicherheitslücken, die den Diebstahl sensibler Daten bei WhatsApp oder beim Online-Shopping erst ermöglichen. Sichern Sie Ihr Smartphone jetzt mit praxistauglichen Experten-Tipps ab, bevor manipulative Software wie PromptSpy Schaden anrichten kann. Kostenloses Android-Sicherheitspaket jetzt anfordern

Für Android-Nutzer bleiben grundlegende Regeln der beste Schutz. Apps sollten ausschließlich aus dem offiziellen Google Play Store bezogen werden. Der integrierte Dienst „Google Play Protect“ erkennt bekannte Varianten von PromptSpy. Besondere Vorsicht ist bei Berechtigungsanfragen für den „Bedienungshilfen-Dienst“ geboten – ein häufiges Einfallstor für Malware. Im Infektionsfall hilft oft ein Neustart im abgesicherten Modus, um die schädliche App zu entfernen.

Die Entdeckung von PromptSpy ist bereits der zweite Fall dieser Art. Im August 2025 machte ESET mit „PromptLock“ die erste KI-gesteuerte Ransomware bekannt. Die Botschaft ist klar: Cyberkriminelle integrieren generative KI nun direkt in ihre Angriffslogik. Das Wettrüsten zwischen Angreifern und Verteidigern ist in eine neue Phase getreten.

boerse | 68615972 |